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Abstract of WO 020691 1 8 ( A2) 

The invention relates to a method for the distributed i*:;!' : 

creation of a program for a programmable portable -v ^ 

data carrier (10), for example, a chip card. To this 1 p^i^tSv; 
end, program source text (Q) is created on a user I '"^ — f 7^- 
computer (20), compiled and linked to executable \ i/ '^" 

program code (C) on a spatially separate compiler : 
server (30), and the executable program code (0) is ; 
loaded into the data carrier (10) once again via the 
user computer (20). A secure end-to-end link is 
established for conducting an exchange of data 
between the data carrier (10) and the compiler 
server (30). To this end, the data carrier (10) is 
provided, in a pre-completion step, with software 
tools for final processing, which permit a transport 
code (U, CssI, UCSM) provided in a transition format 
to be converted into executable program code (C). 
The transport code (U, CssI, UCSM) is secured by 
encoding mechanisms.; The transmission of the 
executable program code (C), which is generated by 
the compiler server (30), ensues in the transition 
format (U, CssI, UCSM). 
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Method and system to the distributed creation of a programme for a programmable, portable data carrier the invention 
relates to the manipulation-safe creation of executable programme code for programmable portable data carriers, 
preferably in shape of smart cards. 

From the US-A-6,023,565 is a method known to the distributed creation of a program for a programmable logic circuit. A 
user, who would like to prepare a programme for a such circuit by means of a computer located with it, becomes provided 
thereafter a simple operated user interface of the manufacturer of the circuits. 

Thus the user on its computer describes the functionality desired for the logic circuit. The description made menu-guided 
over input masks, by means of those prepared parameters fixed become. The resultant, desired circuit functionality 
descriptive parameter data set becomes transmitted over a data network to a computer of the circuit manufacturer. This 
compiles the parameter data set and generated executable programme with the functionality desired of the user. 

The executable programme sends the manufacturer back to the computer of the user, who it converts into a programming 
instruction sequence and transfers these to the logic circuit. As program preparation is reduced on dialogue-led entering of 
parameters, the possible concept also users without extensive programming knowledge the creation of programmes for 
logic circuits. A program preparation is possible thereby without the user has a compiler often commodity. 

The concept turns off to handhave the application friendliness structurally heavy technical system to improve. Provisions to 
the protection of the data against manipulation, exchanged between the involved computers, are not met. The concept is 
not suitable therefore for applications, in which it particularly arrives on a protection of the generated program data 
against questioning intensively and manipulation. In particular it is not suitable in the described form the creation of 
programmes for smart cards, by means of those safety-relevant transactions, about banking transactions, executed to 
become to be supposed itself. 

From US 6.005.942 a method is already to the safe introduction of an executable application on one in the field located 
smart card known. 

The method possible it application offerers to bring to bottom engagement of the map publisher to arbitrary times during 
the life cycle of a smart card other applications on a card. Additional loadings of an executable application possible, those 
becomes the editor of the card associated is and the keys and cryptographic mechanisms the managed by means of a 
particular Kartendomain routine. 

The Kartendomain routine becomes supported of safety routines, which likewise administer keys and cryptographic 
mechanisms, which are however the application offerer associated and secure applications which can be reloaded opposite 
the map publisher. Applications which can be reloaded are encrypted, become from the Kartendomain routine with 
support, the safety routines decrypted and into the card loaded. 

With loadings the made examination of a cryptographic signature. With the creation of the applications on the basis of an 
application program source text, which can be reloaded, the writing does not deal. 

From the WHERE 99/12307 is a method to the distribution of commercial software on the basis of a software producer 
over middlemen at user known. Described one will a method, it the middlemen allowed to add one software additional 
information which can be distributed without the security of the executable core code of the software which can be 
distributed becomes affected thereby. Achieved one becomes this by a particular dispatching routine, which provides one 
software encrypted which can be distributed and with a special distribution information table. Only in the latter the 
middlemen can make changes or attach additions. 

Smart cards, which permit a reloading of executable programme code, as well as the introduction programme code in 
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smart cards, which can be reloaded, are z. B. in the " handbook of the smart cards " of W. Rank!, W. Effing, Hansa 
publishing house Munich, 3. Edition, described. Program preparation made thereafter complete on a background system. 
The created executable programme code becomes over one, z. B. by a mutual authentication saved interface on the smart 
card transfered. From safety reasons the made introduction of the executable programme code on the smart card 
preferably on-line, after an unique identification and allocation of background system, interfaces, map operating system 
and map microprocessor are made before. In order to ensure with keeping of a highest possible security the 
managableness that the identification informations contained databases of the background systems, the certificates to the 
creation of executable programme code on background systems of the map publishers only bottom editions issued and are 
listed the issued certificates. The possibility in principle created to provide executable programme code for smart cards 
themselves becomes limited thereby. 

To the fuse of a data exchange between two computers, led across an open data network, a number of methods based on 
different coding techniques is known, and. A. the SSL (Secure Socket Layer) protocol, PGP (Pretty Good Privacy), the 
Secure Messaging or the SMI ME protocol. Methods of this type become also subsequent described in that, invention 
process used, are however actual not item of the invention. To the remark details including the kryptologischen 
implementation general is therefore referred to the various available descriptions of the respective methods in the 
pertinent literature as well as in the Internet. The same applies for used means to the usual in connection with backup 
processings as for instance the encryption in accordance with the 3DES-Verfahren or the formation of Message 
Authentication code (MAC). 

The invention is the basis the object to indicate a method it with keeping maximum security against data manipulation 
allowed to permit to as large a circle of users as possible the creation of executable programmes for programmable 
portable data carriers. Object of the invention is it further to indicate the system components necessary to the carrying out 
the method. 

The object becomes dissolved by a method with the features of the principal claim. According to invention a user a 
program editor to the creation a portable data carrier pre-mounted by program source texts as well as for the order 
provided, which software tools for finishing has, which the conversion of transportation code in executable programme 
code, present in a transition format, will permit. The creation of an executable program for the data carrier made 
distributed. With the program editor the created user a program source text, which becomes subsequent over a saved 
connection to a computer transmitted located with the editor of the data carrier. The saved connection can become 
thereby manufactured as a program source text of the pre-mounted data carrier becomes a transportation code encrypted 
and saved against change in such a way that only more certain, over with an editor of the data carrier located a computer 
of addressed receivers entschliis sein and on integrity can examine the transportation code. 

From the received program source text a generated programme code executable with the editor of the data carrier located 
computers by compiling and linking. Component Kompilier-und of link procedure is a formal verification of the generated 
programme codes, becomes determined by which in particular aggressive code. With the editor of the data carrier located 
computers convert the verified, executable programme code into a transition format and transmitted this over the 
computer of the user to the pre-mounted, portable data carrier. This transfered it with the help of the finishing often 
commodity tools again to executable programme code and transfers this to his memory. 

Preferably the safety-relevant parts are contained of the finishing software in the pre-mounted data carrier. Thus purpose 
mA become ssig in the pre-mounted data carrier in particular the decryption and/or the detection of the authenticity 
and/or the integrity a programme code of a contained transportation code executed, before deposited in the correct case 
the resultant, executable programme code becomes into the memory of the data carrier. 

The invention process creates safe " end end " a connection between computer located with an editor and a data carrier 
over a computer located with a user. 

By the design of pre-mounting and the choice of the software tools it can be adapted thereby to easy to the type and the 
technical possibilities of the data carriers given in each case. The data carriers are only for the execution of symmetric 
coding procedures established, the made manufacturing saved " end end " of a connection convenient by use of a 
symmetric map-individual key on the one hand, and a superimposed, simplified asymmetric encryption on the data 
connection between the computer of the user and with the editor of the data carrier located computer on the other hand. 
In an alternative embodiment made to the fuse of the data transfer between the computer of the user and with the editor 
of the data carrier located computer an asymmetric encryption with mutual authentication and becomes the saved " end 
end " - connection between with the editor located computer and the data carrier with the mechanisms of the Secure 
Messaging established. 

If the data carriers for the execution of asymmetric coding procedures are established, convenient between the " end end " 
saved direct with the editor of the data carrier located computer and the data carrier by asymmetric encryption becomes 
connection formed. The computer of the user functions thereby only as an intermediary. 

The invention process has the advantage that the creation of executable programmes for a data carrier in principle to 
arbitrary users will leave can, without the identity of the user would have to become found and managed. Since the editor 
of the data carriers is included into each program preparation, the security of the generated programmes and over it the 
whole system is always ensured. Because in particular compiler functionality remains with the editor of the data carriers, 
important and safety-relevant know-how does not have to be handed over to the users. 
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By design of compiler functionality that direct, unencrypted accesses to program source texts derived of users or 
generated executable programme codes become blocked, reverse ensure leaves itself in such a manner that user-specific 
know-how of the users before the editor becomes protected. Convenient one will become for this in with the editor located 
computer a hardware security module used, in that compiler functionality, the en/decryption of programmes, the 
examination/creation of signatures as well as the authentication the executed. Outside of the hardware Sicherheitsmodules 
erschei program source texts or executable programme codes nen only in encrypted form. 

By the formal verification of new created programmes with the editor, D. h. furthermore in safe environment, the very 
reliable introduction of aggressive programme codes can become into systems useful by means of a data carrier 
prevented. Besides the advantage results that all created executable programmes with the most current in each case 
compiler become compiled. The invention process can become thereby on-line or off-line executed. For the editors of data 
carriers the invention process opens even the possibility to deliver the creation of the desired in each case executable 
application programmes completely the users too left and the data carriers at all only in pre-mounted form. The 
integration of the editor into a program preparation possible furthermore the introduction of use methods, always forced 
by distributed program preparation, which use fee models, which z. B. on the number or the type of the executable 
programmes brought on a data carrier are based. 

An embodiment of the invention becomes subsequent bottom reference on the drawing more near explained. 

Show: Fig. la system to the execution of a program preparation. Fig. 2 the structure of the integrated circuit of a 
programming of cash, portable data carrier. Fig. 3. the structure of a second computer. Fig. 4 the basic flow of a 
distributed Programmerstel lung, Fig. 5 to 7 flow charts to the illustration of the flow of one 
Program preparation. Fig. 8 the principle of an on-line examination of a created program on executability. 

Fig. 1 the illustrated basic structure of a system to the distributed creation of a program for a programmable, portable 
data carrier. A first computer 20 formed for a data exchange with a portable data carrier 10 is 30 connected over a data 
connection 28 with a second computer. 

The first computer 20 is with a user, approximately with a bank, an insurance, a retailer, a medical device or such or with 
a Dienstleister, that on behalf the aforementioned Eiririchtungen of programmes created. It possesses first, contacting or 
contactless working interface 24, the z. B. as Kontaktfeld, in form of a coil or as optical signal transmitters realized to be 
can do and a data exchange with a portable data carrier 10 the possible. 

Over an other interface 26 it is 28 connected to a data connection. By both interfaces 24.26 the user computer 20 
connects the data carrier 10 with the data connection 28. The user computer 20 makes 10 thereby auxiliary functions to 
the data carrier available. It allowed in particular the operation one, in the following short editor mentioned, editing 
program 22, that the creation of source texts of programmes for a data carrier 10 allowed. 

For the programmable, portable data carrier 10 the subsequent form of a smart card is taken as a basis. On this aspect it 
is not however by any means limited. The data carrier 10 can be rather, adapted to the respective use, also differently 
formed, approximately in shape of a clock, than write means etc. Independent one of its concrete aspect possesses the 
portable data carriers 10 in each case an interface 14 corresponding to the interface 24 of the user computer 20, which a 
data exchange with a user computer 20 possible. Furthermore possesses the portable data carriers 10 an integrated circuit 
12, which exhibits a central processing unit as well as a memory to the receptacle of the programme code at least one in 
the central processing unit of executable application program. The second computer 30 is typically with an editor of 
portable data carriers 10 or with an authorized operator of the here described method. Usually it possesses one compared 
with that user computer 20 and/or. the portable data carrier 10 essential larger arithmetic performance. The second 
computer 30 does not have to be thereby as structural unit realized. It can be rather also as system with distributed 
components executed, which over a particular data network connected is. To storage and/or. to the execution of sensitive 
functions hardware security modules can be used. Over an interface 34 the second computer is 30 28 connected to the 
data connection. The second computer 30 is in particular formed to implement a compiling program 310 for the conversion 
one in a programming high-level language of present source text program to machine language; it becomes therefore 
subsequent designated as compiler servers. 

The data connection 28 has usually the shape of a data network and can by the Internet realized be in particular. Although 
in Fig. 1 only a connection between two components 20.30 shown is, can over in the following the data network data 
connection specified 28 also several user computers 20 with or also several compiler servers 30 connected be. 

Fig. the structure of the integrated circuit 12 of a smart card 10 also software tools applied as pre-mounting shows 2. The 
integrated circuit 12 possesses an architecture typical for smart card processors and exhibits a central processing unit 100, 
a volatile working memory 102, as well as a non volatile memory array 104, latter existing from a non volatile read-only 
memory as well as a non volatile, rewritable memory. Usually the volatile working memories 102 a ram memory, the non 
volatile read-only memories is a ROM and the non volatile, rewritable memories an EEPROM memory. Except this 
mentioned arbitrary others can become, the same functionality exhibiting storage types used. Furthermore the central 
processing unit 100 is 14 connected with the interface. 

In the non volatile memory array 104 is a number of for the use of the data carrier 10 required software tools, which 
become applied in a pre-mounting phase before transfer of the data carrier 10 to a user. Bottom software tools are not 
here all by a user variable programmes, routines or records understood to become, which are more insertable 



.org/emtp/gw/?ACTION=description-retrieval&OPS=ops.epo... 2/24/201 1 



European Patent Office 



Page 4 of 10 



bedarfsweise certain in each case tasks of data processing to the execution. In the frame of pre-mounting applied 
becomes thereby execution-independent, always similar map basic equipment 110. It covers at least the operating system 
111, a basis program code 112 to the implementation, executable programme code reloaded by applications, which 
already are with transfer to the user on the smart card 10, as well as a storage area 113 to the later receptacle of. 

On the other hand a selection of the subsequent software tools tuned on the selected in each case execution variant 
becomes applied: one for the integrated. Circuit 12, and thus for the smart card 10, individual and unique identification 
information 114, z. B. a serial number, a programme 116 cryptographic algorithms asymmetric to the execution, a 
programme 118 cryptographic algorithms symmetric for execution, a programme 120 to the guide of a data exchange 
after the principle of the Secure Messagings, a programme 122 for the execution of a data exchange over the data 
network 28 in accordance with the SSL protocol, an smart card-individual signature key 124, an smart card-individual 
symmetric key 126, the public key 128 one the smart card 10 of associated compiler server 30, a private map key 130 to 
the use in an asymmetric coding procedure, a certificate 132, which becomes the Zusammengehorigkeit between public 
map keys and identification informations with a signature of an editor confirmed, memory space the receptacle meeting 
keys of a 134-dieser in contrast to the aforementioned keys with the receptacle a data exchange with a compiler server 30 
new in each case generated, as well as a sequence counter 136. All software tools mentioned can be also in each case 
multiple present. That particularly applies to the listed keys, certificates and the sequence counter. 

Fig. 3 the illustrated structure of a compiler server 30 with the programmes used at the time of the execution of a program 
preparation and software tools. Core of the compiler server 30 forms a central processing unit 300, which 28 connected 
over an interface 34 with the data network is, in order to lead across it a data exchange with a user computer 20 and 
across it with a smart card 10. More other the central processing unit 300 a volatile working memory 302, usually in shape 
of a ram memory, is as well as a non volatile memory array 304 associated, which cover usually a only reader COM 
memory as well as a mass storage, about an hard disk. 

In the memory array 304 are for the execution vorgeschlage of the nen method required software tools deposited. Fig. the 
simpleness because of an overview shows 3 over all software tools coming in connection with this description into 
considerations. The selection of the actual required software tools hangs, as with the smart card 10, of the selected 

embodiment concrete to the implementation of the method. General ones can be in the memory array 304 at software 
tools: , In Fig. 3 compiler compiling program mentioned 310 for the conversion of program source text to a programme 
code, in Fig. 3 linker link program mentioned 312 for the integration from already created programme codes into the 
context of a new created program, a code library of 318 programmes and program sections already present with the 
programme code, a database 320 programme codes associated to the tray of certain users, a Debug programme 316 for 
the examination of a created program on executability, a programme 321 for the formal verification of generated 
programmes and/or source texts, or several master key 324, which corresponds to that or the smart card-individual, 
symmetric keys 126, or several master keys 326, which to the smart card-individual keys 124 corresponds to MACs to the 
formation of data protection codes, in particular, or several public server keys 328 for the execution of asymmetric 
cryptographic algorithms, or several corresponding private server keys 330, or several public map key 332 algorithms, or 
several server certificates 334, asymmetric for execution, or several sequence counters 338, as well as a list with 
certificates, which became 10 formed with the manufacturing of the pre-mounted smart card and become 132 stored in 
the smart card 10 in the area. Furthermore the included memory array 304 a user list 340 with identification informations, 
which make an unique identification for a smart card possible; Identification informations to the identification of smart 
cards 10 can be for example their serial numbers. 

Convenient ones become only the actual required established in a compiler server 30 with the practice of the method of 
the aforementioned software tools, not in each case the required omitted. 

Meaning and use in the pre-mounted smart card of the 10 and/or. the compiler server 30 present software tools 
subsequent become on the basis the Fig. 4, which shows the basic flow of a distributed program preparation, as well as 
the Fig. 5 to 7 explained, which illustrate three embodiments of a distributed program preparation. 

Fig. 4 shows first the basic flow of a distributed program preparation. In a preparatory phase a user a smart card 10 pre- 
mounted by applying software tools as well as an editor become 22 the order provided, step 400. With the editor 22 
created it on the user computer 20 a program source text Q, step 402. 

This with a transport lock, step 404, and into a transportation code T, TQ, TQssL transfered, step 406 is provided by 
application of an appropriate coding technology. The transportation code T, TQ, TQssL becomes 30 transmitted to the 
compiler server; Step 408. 

The compiler server 30 waives the transport lock by decryption, step 410, and recovers in the transportation code the T, 
TQ, TQssL contained program source text Q, step 412. The program source text Q compiled, binds and for verified he 
subsequent, step 414. It results an executable programme code C, step 416, which becomes subsequent again transport- 
saved, to step 418. It becomes for this by application of appropriate coding mechanisms, which must agree not with 20 
applied on pages of the user computer before, into a transition format U, UsM, USSL transfered, step 420. In this 
transition format it becomes 10 transmitted over the user computer 20 to the smart card, step 422. 

Those determined using the software tools put on with pre-mounting from the transportation code U, USM, USSL by 
decryption, entered in the user computer 20, again the executable programme code C and finally loads this into his 
memory. 
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Fig. a distributed program preparation shows 5, 30 achieved with which data security becomes by use of on the smart card 
10 prepared means in interaction with the compiler server. In Fig. 5 illustrated embodiment is particularly suitable for 
systems, in which the used smart cards control 10 only symmetric coding techniques. 

Fig. an embodiment shows 6, with which the data transfer being made between user computers 20 and compiler server 30 
by the data network 28 is by means of a SSL protocol saved, while that becomes direct between smart card 10 and 
compiler server 30 taking place data transfer in accordance with the Secure Messaging mechanism executed. The 
embodiment is suitable likewise for systems, in which the used smart cards permit 10 only symmetric coding techniques. 

Fig. 7 an illustrated embodiment, with which the user computer works 20 essentially only as an intermediary between 
smart card 10 and compiler server 30. The fuse between smart card of the 10 and compiler server 30 transported data 
made, by between compiler server 30 and smart card 10 using the SSL protocol direct saved "end end" - connection 
established becomes. Table 1 illustrated the systematic applicability of the three subsequent on the basis the Fig. 5,6,7 
described embodiments in response of the execution of the data transfer, the equipment requirements of the smart card 
10 and the type of the transport lock. 

Table 1 
EMI16.1 



<tb> Verfah Datenubertra request <September> on <September> Chipkartype <September> <September> Transport 
<tb> ren <September> gung <September> width unit <September> Fuse 

<tb> Fig <September> 5 <September> Off-line <September> Only <September> symmetric <September> Algo 

encryption 

<tb> rithmen <September> and <September> MAC <SEPTEMBER> through 

<tb> Chipk. 

<tb> 

Fig. <September> 6 <September> On-line <September> Symmetric <September> and/or <September> Secure 
<September> Messaging 

<tb> asymmetric <September> Algorith through <September> Smart card 
<tb> men 

<tb> Fig. <September> 7 <September> On-line <September> Symmetric <September> and <September> Asym SSL 
<September> by <September> Chip 

<tb> metrical <September> Algorithms <September> map 

<tb> The left column in the Fig. 5,6,7 shows in each case the activities of the compiler server 30, the right activities of the 
user computer 20 and/or. the smart card 10, whereby " N " the user computer 20 designated, " the smart card 10. 

In Fig. 5 represented program preparation upstream is a preparatory phase. Therein the user by the editor a pre-mounted 
smart card 10, step 500, as well as an editor becomes 22 the mechanism on its computer 20, step 502, provided. On the 
pre-mounted smart card 10 are and/or. 113 established are beside the basic equipment: an identification information ID in 
the storage area 114, 

Programme 118 for the execution of symmetric cryptoalgorithms, for instance the " 3DES " - algorithm, at least an map- 
individual key KMAC to the formation of a data protection code, preferably in shape one 

MACS, in the storage area 124, at least a key KENC to the symmetry schen encryption in the storage area 126, as well as 
memory location 134 to 

Receptacle of at least two session keys SKENC, SKMAc. 10 at least two sequence counters 136 with values SEQc, SEQH 
are more other on the pre-mounted smart card, established. The sequence counter SEQc serves thereby for the calculation 

of the session keys SKENC, SKMAC for the safe over carrying of program source texts Q of the user computer 20 for the 
Compi more lerserver 30 used becomes, the sequence counter SEQH serves for the calculation of session keys SKENC, 
SKMAC, those for the safe transmission of 

Programme codes C of the compiler server 30 to the user computer 20 used become. 
On the compiler server 30 10 two become for each spent smart card 

Sequence counter 338 with values the SEQc, SEQH established. The values SEQc, SEQH tune, thus the compiler server 30 
after the same calculation specification, as them the smart card 10 begin, the session keys SKENC, SKMAc to compute 
can, always with the values of the corresponding 

Sequence counter 136 of the associated smart card 10. The increase of the security become with each transmission of 
program source texts Q and/or. Programme code C other session keys SKENC, SKMAc used. 

For this purpose smart card 10 and compiler servers increase 30 in each case before the calculation of meeting key 
SKENC, SKMAC the values SEQc and/or. 

SEQH of the sequence counters 136,338. 

The editor 22 the allowed creation of program source text Q, z. B. in a programming high-level language. Preferably 
supported it the Programmer position by a graphic underlaid, dialogue-controlled input guidance and offers direct useful 
development aids like a syntax check or the integration from program interfaces to the code library. 
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Are available smart card 10 in pre-mounted form and user computer 20, the created user using the editor 22 the program 
source text Q of a program certain to the introduction into a smart card 10, step 504. In addition, the preferably made 
creation in a programming high-level language, general is every other format possible. 

If a program source text is Q created, the user assigns the smart card 10 over the editor 22 by means of a corresponding 
instruction to code and secure with a i^AC against change the program source text Q. In addition the increased smart card 
10 first the sequence counter value SEQc and the generated meeting keys SKENC and SKMAc, z. B. with the symmetric 
3DES-Algorithmus, step 506. Subsequent encrypted it the program source text Q with the session key SKENC to an 
intermediate code Q'und calculated with the session key, obtained of the editor 22 over the interfaces 24.14, SKMAC a 
MAC over Q', step 508. Intermediate code Q'und MAC hands the smart card to 10 then over the interfaces 24.14 back to 
the editor 22 over. 

This determined furthermore the map identification ID, put on in the storage area 114 of the smart card 10, step 509, and 
join it with the intermediate code Q as well as the MAC to a transportation code T. Such a formed transportation code T 
the transmitted user computer 20 over the data network 28 to the compiler server 30, step 510. The transmission of the 
transportation code T can be made thereby in arbitrary manner by an unsecured medium. For example the transportation 
code T can become as E-Mail transfered or on disk by posts to the editor sent. Since beside the transportation code T can 
become also on-line over the data network 28 to the compiler server 30 sent. Privacy and integrity of the transmitted 
transportation code T become 10 ensured by the encryption and the MAC calculation by the smart card. 

With the compiler server 30 received, this examines first, step 512 whether the identification information ID contained in 
the transportation code T is contained also in the identification list 340 led in the compiler server 30, which preferably 
forms a customer master list. Applies, it derives the associated map-individual keys KENC and KMAC first from the master 
codes MKENc and MKMAc located in the storage areas 324.326 with the help of the identification information ID, step 514. 
From these keys as well as the incremented sequence counter SEQc the calculated compiler server 30 then the session 
keys SKENC and SKMAc after the same calculation specification, which has before the smart card 10 used. With the 
session key SKMAC the calculated compiler server 30 subsequent for his part one MAC, step 516, and compares it with 
the MAC contained in the transportation code T. , The compiler server 30 recognizes voices both the transportation code T 
as authentic, D. h. coming from the smart card 10 with the identification information ID, and more integer, D. h. not with 
the transmission changed. 

The compiler server 30 has a transportation code T as authentic recognized, decrypted it the program source text Q' 
contained in the transportation code T by means of the session key SKENC. Due to the integrity of the transportation code 
determined before T the resultant, decrypted format agrees with the created program source text Q original on the user 
computer 20. 

The restored program source text Q the transfered compiler he 30 using the compiling program 310 into an intermediate 
format, which it connects to subsequent by means of the link program 312 bottom accesses to the code library 318 with 
already present programme code, step 518. 

Compiling program 310 and link program 312 are in a convenient design in form of a hardware Sicherheitsmodules 
executed, which Compilier-und link functionality, Ent and the encryption of the processed program data, the examination 
and creation of signatures as well as the authentication included. All processed program data, in particular incoming 
program source texts Q and generated executable programme codes C appear then outside of hardware the 
Sicherheitsmodules only in encrypted form. On these ensure leaves itself that user-specific know-how of the users 
becomes 30 protected against insight and access over the compiler server. 

Convenient one can be in the compiler servers 30 furthermore a limitation of the access to the code library 318 
established, which z. B. the integration already present programme code in new generated by the link program 312 
limited. 

The programme code C resultant after compiling and linking becomes 321 formal verified by means of the verification 
program. The programme code becomes C on obvious errors tested, approximately on adherence to the address space, on 
attention of the predetermined memory sizes, on type injuries or on aggressiveness, step 520. 

The programme code C generated from the program source text Q is usable thereafter, D. h. by the smart card 10 more 
executable, he becomes for the retransmission into a transportation code U converted. For this first the sequence counter 
value becomes SEQH increased. With the increased sequence counter value SEQH subsequent from the master codes 
MKENc becomes and/or. MKMAC and the identification information ID the map-individual keys KENC and KMAC derived 
and thus again session keys SKENc and SKMAc calculated, step 522. The calculation of the session keys SKENc, SKMAc by 
the compiler server 30 made on the same manner as it before, in step 506, of the user computer 20 made became, 
whereby only in place of the sequence counter value SEQc becomes the sequence counter value SEQH used. 

Subsequent one becomes with the session key SKENc the programme code C an intermediate code C'verschliisselt and 
over the intermediate code C'mittels session keys of the SKMACweiterhin a MAC calculated, step 524. 

Intermediate code C'und MAC then assembled, which the compiler server 30 to the user computer 20 sends, step 526 
becomes a transportation code U. For the transmittal of the transportation code U as in case of the transportation code T 
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any can beconne, in particular also an actual uncertain transmission medium like a disk or the shipment by enamel 
selected. Of course 28 possible beside it also the use of an on-line connection is over a data network. If an on-line 
connection becomes used, the possibility, to a job, exists D. h. the sending off in a transportation code contained of a 
program source text Q to a compiler 30, in a single on-line session also the result, D. h. a transportation code U with the 
programme code C'zu obtained. 

The user computer 20 leads the obtained transportation code U over the interfaces 24.14 other to the smart card 10, step 
528. That one the increased value SEQH of the sequence counter 136, generated thereby on the same manner as before 
the compiler server 30 in step 522 the meeting keys SKENc and/or. SKMAC and examines whether the MAC transmitted 
with transportation code U is the " identical MAC, which the smart card 10 even by means of the key SKMAC from U can 
compute step 530. Voices MAC " and MAC, is the MAC " from U successful verified. Since except the smart card 10 even 
only the compiler server 30 has the possibility, the key sports club MAC to use, is by decryption of the programme code 
transmitted in the transportation code U C'gewonnenen programme code C authentic, D. h. it became of the compiler 
server 30 out a program source text Q generated transport-saved of the same smart card 10. As authentic recognized 
programme code C becomes 113 loaded of the smart card 10 into the map memory, step 532. 

Fig. an embodiment of a distributed program preparation shows 6 as flow chart, with which the data transfer being made 
between user computers 20 and compiler server 30 by the data network 28 is by means of SSL saved, while the direct 
data transfer between smart card 10 and compiler server becomes 30 executed with the help of the Secure Messaging 
mechanism. The embodiment is suitable as in Fig. 5 illustrated embodiment particularly for an on-line execution in 
systems, in which the used smart cards permit 10 only symmetric coding techniques. 

One for the execution of the second embodiment pre-mounted smart card 10 covers 110 with operating system 111, basis 
program code 112 and memory space 113 for completion program code, beside the basic equipment a routine 120 for the 
execution of the Secure Messagings, a private map key 130 as well as a public server key 128. Furthermore the user 
computer 20 has program functionality to the execution of the SSL protocol without authentication of smart cards. 

The execution of a program preparation in the second embodiment corresponds first to the first embodiment in accordance 
with Fig. 5 and covers the steps 500 to 504. 

If a program source text Q is present, the user furnishes a connection between its computer 20 and the compiler server 30 
of the editor, step 600 over the data network 28. 

If the physical connection is 30 manufactured to the compiler server, a SSL protocol started becomes between user 
computers 20 and compiler server 30. User computer 20 and compiler server 30 determine thereby a session key SKssL, 
steps 601,602 in each case. Subsequent one becomes within the SSL protocol a so called IP tunnel between compiler 
server 30 and smart card 10 the execution of the Secure Messagings established, step 604. In the user computer 20 
thereby the protocol of the Secure Messagings accomplished by the smart card 10 becomes into that, only between user 
computer 20 and compiler server 30 used SSL protocol embedded. In the IP tunnel subsequent smart card-specific records 
become, preferably in shape of APDUs (Application Protocol DATA unit) direct between smart card 10 and compiler server 
30 transported. Regarding the Secure Messaging the user computer 20 functions only as pure intermediaries. 

In accordance with the Secure Messaging smart card 10 and compiler server 30 accomplish then a mutual authentication, 
whereby first the card 10 opposite the compiler server 30 authenticates itself, step 606, the subsequent compiler server 
30 opposite the card 10, step 608. If the mutual authentication between smart card 10 and compiler server 30 successful 
runs, the use of all functions of the compiler server becomes 30 20 enabled by means of the user computer, step 610. 

The use release is present, the encrypted user computer 20 the created program source text Q with the before certain 
session key SKsEs and the transmitted transportation code TQ resultant from it to the compiler server 30, step 612. 

In the compiler server 30 the transportation code TQ is entered with the help of before in the compiler server 30 
generated session key SKssL again decrypted, step 614, and into the source text Q transfered created on the user 
computer 20. Convenient one the made execution of the steps 610, 612.614 in form of a continuous data exchange 
between user computer 20 and compiler server 30, so that the recovery of the source text Q in the compiler server 
becomes 30 immediate after receipts of the last encrypted source text data record of the user computer 20 completed. 

From the source text Q the generated compiler server 30 then by execution on the basis the Fig. 5 described steps 518 
and 520 an executable programme code C. 

The compiler server 30 changes the executable programme code C by application of the Secure Messaging mechanisms in 
saved programme code CsM, step 620. The saved programme code CSM transfered it subsequent by encryption with the 
help of session keys the SKsEs into a transportation code UCsM, step 622 present in a transition format. By the encryption 
with the session key SKsEs becomes that, typically in shape of APDUs present, saved programme code CsM into a fuse of 
the data transfer over the data network 28 between compiler servers 30 and user computer 20 embedded. 

The transportation code UCsM the transmitted compiler server 30 to the user computer, present in the transition format, 
20. This decrypted UCsM by means of the meeting key SKsEs, step 626, whereby the fuse mounted to the protection of 
the data transfer between compiler server 30 and user computer 20 becomes again remote. The decrypted programme 
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code CsM saved present thereafter in accordance with the Secure Messaging the user computer hands to 20 to the smart 
card 10 over, step 624. 

In the smart card 10 the saved programme code CsM becomes by application of the turning around Secure Messaging 
mechanisms again in executable programme code C returned, step 628, and finally into the memory array 104 into the 
area 113 loaded, step 630 there prepared to the receptacle of completion program code. 

From reasons of the clarity became managing in Fig. 6 represented procedure as sequential sequence of separate steps 
described. In the practice between smart card the 10 usually contains, user computer 20 and compiler server 30 taking 
place data transfers a data exchange in in each case two directions. Meaningful one is it besides to implement method 
steps, for which the possible is, in form continuous, quasi parallel Datenaustausch-und of processing process in the 
compiler server 30 and user computer 20 and/or. Smart card of 10 method steps, temporal overlaying implement. 
Convenient one is this z. B. for the steps 620 to 630: they become preferably in shape of a continuous data exchange 
between compiler server 30 and user computer 20 executed, in which a transmission of records of the transportation code 
UCsM already takes place to the user computer 20, during on the compiler server 30 still the conversion of the programme 
code C in accordance with the Secure Messaging made, and in that 10 records transfered of the compiler server 30 over 
the user computer the 20 to the smart card by these immediate before that loadings into the memory space 113, D. h. 
without intermediate storage up to the complete input, decrypted become. 

Fig. 7 an illustrated other embodiment on the basis the Fig. 4 described program preparation, with which the user 
computer works 20 essentially only as an intermediary between smart card 10 and compiler server 30. The fuse between 
smart card of the 10 and compiler server 30 transported data made, by between compiler server 30 and smart card 10 
using the SSL protocol saved, direct " end end " - connection established becomes. 

Pre-mounting a smart card 10 included appropriate for the execution of this execution variant beside the mechanism of the 
basic equipment 110 with operating system 111, basis program code 112 and storage area for completion program code 
113 the application of a program 122 for the execution of the SSL protocol, the deposit of a certificate 132, the deposit of 
the private map key 130 as well as the deposit of the public server key 128. 

The carrying out the method in accordance with Fig. to 7 corresponds first on the basis the Fig. 5 described embodiment 
and covers the steps 500 to 504. They become followed of the mechanism of a connection between the smart card 10 and 
a compiler server 30 over the user computer 20, step 700. 

Smart card 10 and compiler server 30 implement now a complete SSL protocol. Within the handshake procedure made 
here a mutual authentication, as the compiler server certificate becomes 332 10 tested by the smart card, step 701, on 
the other hand the certificate 132 by the compiler server, put on in the smart card 10, 30, step 702. If a continuation of 
the data exchange is possible after the mutual certificate examination, smart card 10 and compiler server 30 generate in 
each case a session key, step 704 and/or. 706. 

In Fig. 7 illustrated embodiment is particularly suitable for on-line execution. After manufacturing of a safe data connection 
between smart card 10 and compiler server 30 therefore provided can be that the user must meet a bottom selection 
several possible operating options for further processing a selection. In this case the compiler server 30 sends a report of 
offering to manufacturing of the safe data connection over the possible operating options to the user computer 20, step 
708. From the communicated options the user selects the desired, about a program preparation with on-line translation, 
step 710 over the user computer 20, or a Debug mode, becomes on-line found in which the feasibility of a new generated 
programme code. 

To the increase of the security of the data transfer to the compiler server 30 subsequent can be an optional signature of 
the program source text Q by the smart card 10 provided, step 711. The signature made in actual known manner, as the 
smart card forms 10 over the source text Q an hash worth and this with the private key 130 of the smart card encrypted. 
The Hashwertbildung can take place thereby, in particular with not sufficient hardware resources on a smart card 10, by 
the user computer 20. 

That, if necessary program source text code the encrypted smart card 10 with the before certain session key SKssL mark 
to a transportation code TQssL, step 712, which them send to subsequent over the user computer 20 to the compiler 
server 30, step 714. 

That one the decrypted received transportation code TQssL again with the session key SKsEs, step 716, in order to restore 
the program source text Q. Case a signature present is, examines it by renewed formation of the Hashwertes using the 
public map key 332 their correctness. 

From the restored program source text Q the generated compiler server 30 subsequent by execution of the steps 518.520 
an executable programme code C. 

The compiler server 30 provides the generated programme code C with a signature, which it by formation of a Hashwertes 
and coding the Hashwertes with the private key 330 of the compiler server 30 generated. 
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The developed, signed code encrypted it then with the public key 332 of the smart card 10, step 718. Thereafter present 
the Chiffrat the transfered connpiler server 30 subsequent by coding with the session key SKsEs into a transition format 
CssL, step 720, which it as transportation code finally to the user computer 20 transmitted, step 722. 

This leads the received transportation code CssL to the smart card 10 more other, step 724 which from it by decryption 
with the session key SKsEs again the Chiffrat of the executable programme code generated, step 725. Case the 
programme code C in the compiler server 30 signed became, the decrypted smart card 10 the Chiffrat other with the 
private key 130 of the smart card 10 and examines the signature with the public key 128 of the compiler server 30, step 
726, present thereafter. If the result of the signature examination is positive, the smart card 10 loads the thus present 
executable programme code C into the Speicheranordung 104 into the memory space 113, step 728 planned to the 
receptacle of completion program code. 

As is the case for the embodiment after Fig. 5 became in Fig. 7 represented procedure of the clarity because of 
sequentially described. Practical one is it however meaningful, method steps, for which the possible is, quasi parallel to 
implement, as compiler server 30 and smart card implement 10 it temporal overlaying. That applies for z. B. for the steps 
712 to 716, D. h. the smart card-lateral encryption and the compiler-server-lateral recovery of the program source text Q. 
They take place convenient in form continuous, quasi parallel Datenaustausch-und of processing process, so that the 
program source text Q almost immediate is present after sending off of the last record by the smart card 10 in the 
compiler server 30. An intermediate storage up to the complete input of the program pouring text Q made not. An 
implementation in shape continuous, quasi parallel Datenaustausch-und of processing process continues to itself offer 718 
to 728 also for the steps, D. h. for the compiler-server-lateral encryption of the executable programme code C and its 
smart card-lateral recovery as well as loadings into the memory space 113 on the smart card 10. The execution of these 
steps by compiler server 30 and smart card 10 made convenient without intermediate storage more immediate 
datasentence by sentence, so that the executable programme code C essentially immediate is present after sending off of 
the last transportation code data record by the compiler server 30 in the memory of the smart card 10. 

In the frame of a program preparation in accordance with one that managing described embodiments can the execution of 
a Debug routine provided be. Thus a programme code C before that, created by the compiler server 30, becomes loadings 
on a smart card 10 on executability tested. The principle of such a Debug routine is in Fig. 8 illustrated, whereby to the 
simplification of the description the measures directed to the fuse of the data transfer, D. h. above all the various 
encryptions, not shown are. 

The Debug routine is 30 applied as programme 316 in the compiler server and becomes also there executed. Additional or 
as component of the program 316 included it a data carrier copying hardware to the simulation and/or a software related 
reproduction of a data carrier for the emulation of a generated program on the compiler server 30 the bottom technical 
boundary conditions present on the data carrier. Controlled one becomes it, after setting of a corresponding mode of 
operation in the compiler server 30, over the editor 22 in the user computer 20. The operating mode attitude knows z. B. 
in the frame of the selection of an operating option in the steps 708 and 710 take place, if in accordance with program 
preparation in Fig. 6 illustrated embodiment made becomes. The Debug mode of operation allowed it and. A. to start from 
the user computer 20 from a programme generated in the compiler server 30 to set stop marks storage areas to indicate 
as well as variables select and set. 

For the execution of the Debug routine first a program source text Q created, step 504, and a connection becomes the 
compiler server 30 constructed, step 700 in conventional manner. Subsequent one becomes the source text Q in 
accordance with one of the before described embodiments to the compiler server 30 transmitted, step 800. 

If the source text Q was received, the compiler server 30 offers the generation of a programme code C in the Debug mode 
of operation to the user, step 802. A user can select the mode on it over the user computer 20, step 804. Became the 
Debug mode of operation selected, the created compiler server 30 from the received program source text Q by execution 
of the steps 526.528 a preliminary programme code Cv, which is executable on Simulations-und present in the compiler 
server 30/or emulation environment. The compiler server 30 stores the preliminary programme code Cv into a buffer, step 
806. Subsequent transmitted it the user computer 20 a production message, step 808, which brings these to the display, 
step 810. 

The user can provide the source text program Q now by means of the user computer 20 with Debug instructions, D. h. 
Stop marks set, the execution of a program in single steps or displays of variables arrange, step 812. The Debug 
instructions become the compiler server 30 reported. 

Subsequent one can become over the user computer 20 the execution of the program on the compiler server 30 triggered, 
realized by the preliminary programme code Cv, step 814. The compiler server 30 implements on it the programme 
bottom consideration of the Debug instructions communicated before, step 816. In each case after execution of a program 
section transmitted it specified by the Debug instructions a result message to the user computer 20, step 818, which 
brings these to the display, step 820. Dependent of the handed over Debug instructions on it an intervention of a user can 
be into the programme execution provided, approximately by input of variables or by setting new Debug instructions, step 
822. If necessary made interventions into the program source text Q or new Debug instructions, the transmitted user 
computer 20 the compiler server 30. A Debug instruction is finally processed, the transmitted user computer 20 the 
compiler server 30 a continuation signal, step 824, on that that by repetition of the step 814 the execution of the next 
program section caused. Considered it eventual made interventions into the program source text Q or new Debug 
instructions. The steps 814 to 824 become repeated, until the compiler server 30 has a programme complete executed 
realized by a preliminary programme code Cv. 
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The programme proves finally as correct executably, to the caused user over the user computer 20 a change of the mode 
of operation into the standard mode, step 826. The compiler server 30 generated thereupon from at this time the present 
program source text Q an executable programme code C and transfers this as on the basis the Fig. 4 to 6 described over 
the user computer 20 to the smart card 10, step 828. 

Furthermore it deletes the latched, preliminary programme code Cv, step 830 those managing described sequence about 
embodiments is as basis for a concrete procedure realization to be understood in each case. Bottom Beibehal tung the 
basic approach to use for the achievement of a safe program preparation pre-mounted data carriers the embodiments are 
in each case in a far frame out shapable. This applies in particular to the execution of the structural elements, D. h. the 
smart card, the user computer, the data network and the compiler server. More other Verschliisselungs-und mentioned 
Authentifizierungsverfahren can become natural by other with same safety effect replaced. 

All described embodiments can be brought in particular by the use of other keys, sequence counters or other 
kryptografischer algorithms on an again increased safety stage. From technical or from safety reasons also other 
Umformatie can be rungen provided. So it is in particular with programmable smart cards with view on their limited 
memory location usual to reformat an executable programme code generated on a compiler server 30 again before or with 
loadings into the smart card memory-optimizing as for example symbolic correlations become replaced by absolute 
addresses. Furthermore from reasons of clarity only in each case cases of good became described. The treatment of cases 
of an error can be derived from it however using known standard solutions. 



.org/emtp/gw/?ACTION=description-retrieval&OPS=ops.epo... 2/24/201 1 



European Patent Office 



Page 1 of 2 

































Claims of WO02069118 


Print 


Copy 


Contact Us 


Close 



ResyH; Page 



i Notice: This translation is produced by an autonnated process; it is intended only to make the technical content of the 

original document sufficiently clear in the target language. This service is not a replacement for professional translation 
I services. The esp@cenet® Terms and Conditions of use are also applicable to the use of the translation tool and the results 
I derived therefrom. 



Claims 1. Method to the distributed creation of an executable program for a programmable, portable data carrier, whereby 
the creation of a program source text on first, with a user befindii chen computers, compiling and linking of the program 
source text to an executable programme code after transmission on two ten, with the editor of the data carrier located 
computer, and that 

Gekenn it draws loadings of the executable programme code into the data carrier after back transmission again over the 
first computer made, thus that in a pre-mounting step on the data carrier (10) software tools become the finishing applied, 
which permits it, from egg nem transportation code present in a transition format (U, UCsM, 

CssL to win) an executable programme code (C) in the second computer (30) generated, executable programme code (C) 
for the retransmission in transportation code (U, UCsM, CssL,) converted becomes, and to the first computer (20) to the 
introduction into the data carrier (10) returned transportation code (U, UCsM, CssL,) is reconverted by means of the 
software of tools in executable programme code (C). 

2. Process according to claim 1, characterised in that the program source text (Q) for the transmission to the second 
computer (30), created on the first computer (20), a transport lock receives, by allotting pro rata becomes. 3. Process 
according to claim 1, characterised in that the software tools a data carrier (10) characteristic identification information 
(114) as well as a signature key (124) contain. 

4. Process according to claim 1, characterised in that the software tools a programme for the execution SSL handshake of 
a protocol (122) and/or a programme for the execution of Secure Messaging (120) contain. 

jjt top 5. Process according to claim 1, characterised in that the software tools a private data medium key (130) as well as a 
programme for the examination of a signature with the public key (128) of a second computer (30) contain. 

6. Process according to claim 1, characterised in that into the portable data carrier (10) loading, executable programme 
code (C) including the second computer (30) executed will, in order to locate possible errors. 

7. Process according to claim 6, characterised in that into the portable data carrier (10) loading, executable programme 
code (C) on the second computer (30) including the first computer (20) executed becomes. 

8. Process according to claim 1, characterised in that the executable programme code (C) in the memory (113) of the data 
carrier (10) deposited becomes. 

9. Programmable portable data carrier with an integrated circuit, which exhibits a processor as well as a memory to the 
receptacle of programme code executable by the processor, characterised in that in the integrated circuit (are to be 
transferred of 12) software tools for finishing applied, which make it possible, a transportation code supplied in a transition 
format (U, UCsM, CssL) in executable programme code (C). 

10. Data carrier according to claim 9, characterised in that it at least one sequence counter (136) exhibits. 

11. Data carrier according to claim 9, characterised in that it the data carrier (10) characteristic identification information 
(114) as well as a key (124) to the formation of a data protection code contains, which assign it to a defined second 
computer (30). 

12. Computer for the execution of a distributed creation of an executable program for a programmable, portable data 
carrier, contained at least a compiling program as well as a link program (312), characterised in that it over means orders, 
in order to recover out a happened transportation code present in a transition format (T, TQ, TQssL,) a program source 
text (Q). 
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13. Computer according to claim 12, characterised in that it means exhibits, in order to determine and examine the 
identity one data carrier (10), which can be programmed. 

14. Computer according to claim 12, characterised in that it a table (340) leads, in for each portable data carrier (10), 
which by means of the computer (30) is more programmable, the data carrier characteristic identification information 
(114) deposited is. 

15. Computer according to claim 12, characterised in that it over means (321) for the formal verification of a programme 
code (C) generated by compiling exhibits. 

16. Computer according to claim 12, characterised in that it over means (316) orders, in order to examine a generated 
programme code (C) by immediate execution for whether it contains errors. 

17. Computer for the execution of a distributed creation of an executable program for a programmable, portable data 
carrier, contained at least a first interface for a data exchange with a data carrier as well as a second interface to a data 
connection, characterised in that it means exhibits to make possible in order to implement an editing program (22) to the 
creation one by the computer (20) even not executable program source text (Q), and that it exhibits means, in order over 
first and the second interface (24,26) a direct data transfer between portable data more inertial (10) and one, a second 
computer (39), connected over the data connection (28). 

18. Computer according to claim 17, characterised in that it means exhibits, in order to implement a SSL protocol. 

19. System to the distributed creation of an executable program for egg nen programmable, portable data carrier, 
containing an inertial cash data carrier in accordance with according to claim 9 as well as a computer 

Claim 12. 



20. System of claim 20, characterised in that it further egg nen computers according to claim 17 enclosure. 
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(57) Abstract: The invention relates to a method for the distributed creation of a program for a programmable portable data carrier 
(10), for example, a chip card. To this end, program source text (Q) is created on a user computer (20), compiled and linked to 
executable program code (C) on a spatially separate compiler server (30), and the executable program code (C) is loaded into the 
data carrier (10) once again via the user computer (20). A secure end-to-end link is established for conducting an exchange of data 
between the data carrier (10) and the compiler server (30). To this end, the data carrier (10) is provided, in a pre-completion step, 
with software tools for final processing, which permit a transport code (U, C^si, UCsm) provided in a transition format to be converted 
into executable program code (C). The transport code (U, Cssi, UCsm) is secured by encoding mechanisms. The transmission of the 
executable program code (C), which is generated by the compiler server (30), ensues in the transition format (U, C^si, UCsm)- 
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(84) Bestimmungsstaaten (regional): ARIPO-Patent (GH, 
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eurasisches Patent (AM, AZ, BY, KG, KZ, MD, RU, TJ, 
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Veroffentlicht: 

— ohne internationalen Recherchenbericht und erneut zu 
verdffentlichen nach Erhalt des Berichts 

Zur Erkldrung der Zweibuchstaben-Codes und der anderen 
Abkurzungen wird auf die Erkldrungen ("Guidance Notes on 
Codes and Abbreviations") am Anfangjeder reguldren Ausgabe 
der PCT-Gazette verwiesen. 



(57) Zusammenfassung: Vorgeschlagen wird ein Verfahren zur verteilten Erstellung eines Programmes fiir eine programmierbaren, 
tragbaren Datentrager (10), z.B. einer Chipkarte. Dabei erfolgen die Erstellung des Programmquelltextes (Q) auf einem Nutzercom- 
puter (20), Compilierung und linken zu ausftihrbarem Programmcode (C) auf einem raumlich getrennten Compilerserver (30) und 
das Laden des ausfuhrbaren Programmcodes (C) in den Datentrager (10) wieder iiber den Nutzercomputer (20). Fiir den Datenaus- 
tausch zwischen Datentrager (10) und Compilerserver (30) wird eine sichere Ende-zu-Ende Verbindung aufgebaut. Der Datentrager 
(10) wird dazu in einem Vorkomplettierangsschritt mit Softwarewerkzeugen zur Endbearbeitung ausgestattet, die es erlauben, einen 
im einem Ubergangsformat vorliegenden Transportcode (U, Cssi, UCsm) in ausfuhrbaren Programmcode (C) zu wandeln. Der Trans- 
portcode (U, Cgsi, UCsm) ist durch Verschliisselungsmechanismen gesichert. Die Ubertragung des durch den Compilerserver (30) 
erzeugten, ausfuhrbaren Programmcodes (C) an den Datentrager (10) erfolgt im Ubergangsformat (U, Cssi, UCsm)- 
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Verfahren und System zur verteilten Erstellung eines Programms fur einen 
programmierbaren. tragbaren Datentrager 

5 Die Erfindung betrifft die manipulationssichere Erstellung von ausfiihrba- 
rem Programmcode fiir programmierbare tragbare Datentrager, vorzugs- 
weise in Gestalt von Chipkarten. 

Aus der US-A-6,023,565 ist ein Verfahren zur verteilten Erstellung eines Pro- 

10 grammes fiir einen programmierbaren Logikschaltkreis bekannt. Einem 

Nutzer, der mittels eines bei ihm bef indlichen Computers ein Programm fiir 
einen derartigen Schaltkreis erstellen m5chte, wird danach vom Hersteller 
der Schaltkreise eine einfach bedienbare Nutzerschnittstelle bereitgestellt. 
Damit beschreibt der Nutzer auf seinem Computer die fiir den Logikschalt- 

15 kreis gewiinschte Funktionalitat. Die Beschreibung erfolgt mentigefuhrt iiber 
Eingabemasken, mittels derer vorbereitete Paraimeter f estgelegt v^erden. Der 
resultierende, die gewunschte Schaltkreisfunktionalitat beschreibende Para- 
meterdatensatz wird liber ein Datennetz an einen Computer des Schaltkreis- 
herstellers gesandt. Dieser compiliert den Parameterdatensatz und erzeugt 

20 ein lauffahiges Programm mit der vom Nutzer gewiinschten Funktionalitat. 
Das lauff ahige Programm sendet der Hersteller zuriick an den Computer des 
Nutzers, welcher es in eine Programmierungsbefehlsf olge umsetzt und diese 
an den Logikschaltkreis iibertrSgt. Indem die Programmerstellung aiif das 
dialoggef lihrte Eingeben von Parametern reduziert ist, ermoglicht das Kon- 

25 zept auch Nutzern ohne weitreichende Programmierkenntnisse die Erstel- 
lung von Programmen fiir Logikschaltkreise. Eine Programmerstellung ist 
dabei moglich, ohne dafi der Nutzer iiber eine Compilersoftv^are verfiigt. 
Das Konzept stellt darauf ab, die Anwendungsfreundlichkeit eines struktur- 
bedingt schwer handzuhabenden technischen Systems zu verbessern. Vor- 

30 kehrungen zum Schutz der zwischen den beteiligten Computern ausge- 

tauschten Daten gegen Manipulation werden nicht getroffen. Das Konzept 
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eignet sich deshalb nicht fiir Anwendungen, in denen es besonders auf einen 
Schutz der erzeugten Progrcurtmdaten gegen Ausforschung und Manipulati- 
on ankommt. Insbesondere eignet es sich in der beschriebenen Form nicht 
zur Erstellung von Programmen fiir Chipkarten, mittels derer sicherheitsre- 
5 levante Transaktionen, etwa Bankgeschaf te, ausgef lihrt werden sollen. 



Aus der US 6,005,942 ist ein Verfahren zum sicheren Einbringen einer lauff a- 
higen Applikation auf eine bereits im Feld befindliche Chipkarte bekannt. 
Das Verfahren ermoglicht es Applikationsanbietern, unter Einschaltung des 

10 Kartenherausgebers zu beliebigen Zeitpunkten wShrend des Lebenszyklus 
einer Chipkarte weitere Applikationen auf eine Karte zu bringen. Das nach- 
tragliche Laden einer lauffahigen Applikation wird mittels einer speziellen 
Kartendomain-Routine ermOglicht, die dem Herausgeber der Karte zuge- 
ordnet ist und die Schlussel und kryptographische Mechanismen verwaltet. 

15 Die Kartendomain-Routine wird unterstiitzt von Sicherheitsroutinen, die 
ebenfalls Schlussel und kryptographische Mechanismen verwalten, welche 
aber dem Applikationsanbieter zugeordnet sind und nachzuladende Appli- 
kationen gegentiber dem Kartenherausgeber sichern. Nachzuladende Appli- 
kationen sind verschliisselt, werden von der Kartendomain-Routine mit Un- 

20 terstiitzung.der Sicherheitsroutinen entschliisselt und in die Karte geladen. 
Beim Laden erfolgt die Prufung einer kryptographischen Signatur. Auf die 
Erstellung der nachzuladenden Applikationen ausgehend von einem Appli- 
kationsprogrammquelltext geht die Schrift nicht ein. 

25 Aus der WO 99/12307 ist ein Verfahren zur Verteilung von kommerzieller 
Software ausgehend von einem Softwarehersteller iiber Zwischenhandler an 
Endabnehmer bekannt. Beschrieben wird eine Methode, die es den Zwi- 
schenhandlern erlaubt, einer zu verteilenden Software Zusatzinformationen 
hinzuzuftigen, ohne dafi die Sicherheit des ausfiihrbaren Kerncodes der zu 



wo 02/069118 



PCT/EP02/01655 



-3- 

verteilenden Software dabei beeintrachtigt wird. Erreicht wird dies durch ei- 
ne spezielle Versenderoutine, die eine zu verteilende Software verschliisselt 
und mit einer besonderen Verteilungsinf ormationstabelle versieht. Nur in 
der letzteren konnen die Zwischenhandler Anderungen vornehmen oder Er- 
5 ganzungen anbringen. 

Chipkarten, die das Nachladen von ausf iihrbaren Programmcode erlauben, 
sowie die Einbringung nachzuladenden Programmcodes in Chipkarten sind 
z.B, im ^Handbuch der Chipkarten" von W. Rankl, W. Effing, Hansa Verlag 

10 Munchen, 3. Auflage, beschrieben. Die Progranunerstellung erfolgt danach 
voUstandig auf einem Hintergrundsystem. Der erstellte ausftihrbare Pro- 
grammcode wird iiber eine, z.B. durch eine gegenseitige Authentisierung ge- 
sicherte Schnittstelle auf die Chipkarte xibertragen. Aus Sicherheitsgriinden 
erfolgt die Einbringung des ausftihrbaren Programmcodes auf die Chipkarte 

15 vorzugsweise online, nachdem zuvor eine eindeutige Identifizierung und 
Zuordnung von Hintergrundsystem, Schnittstellen, Kartenbetriebssystem 
und Kartenmikroprozessor erfolgt ist. Um bei Wahrung einer hochstmogli- 
chen Sicherheit die Verwaltbarkeit der die Identifikationsinformationen ent- 
haltenden Datenbanken der Hintergrundsysteme zu gewahrleisten, werden 

20 die Genehmigungen zur Erstellung von ausftihrbaren Programmcode auf 
Hintergrundsystemen von den Kartenherausgebern nur unter Auflagen er- 
teilt und werden die erteilten Genehmigungen gelistet. Die grundsatzlich ge- 
schaffene Moglichkeit, ausf iihrbaren Programmcode fiir Chipkarten selbst 
zu erstellen, wird dadurch beschrankt. 

25 . 

Zur Sicherung eines tiber ein offenes Datennetz gefuhrten Datenaustausches 
zwischen zwei Computern ist eine Anzahl von auf unterschiedlichen Ver- 
schltisselungstechniken beruhenden Methoden bekannt, u.a. das SSL (Secure 
Socket Layer) ProtokoU, PGP (Pretty Good Privacy), das Secure Messaging 
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Oder das SMIME-ProtokolL Methoden dieser Art werden auch in dem nach- 
folgend beschriebenen, erfindungsgemaJSen Verf ahren genutzt, sind aber an 
sich nicht Gegenstand der Erfindung. Zu den Ausfuhrungsdetails ein- 
schliefilich der kryptologischen Realisierung wird deshalb allgemein auf die 
5 vielf altig verfxigbaren Beschreibungen der jeweiligen Methoden in der ein- 
schlagigen Literatur sowie im Internet verwiesen. Dasselbe gilt f iir die xibli- 
chen im Zusammenhang mit Datensicherungsverf ahren eingesetzten Mittel 
wie etwa die Verschlusselung gemafi dem 3DES-Verfahren oder die Bildung 
von Message Authentication Codes (MAC), 

10 

Der Erfindung liegt die Auf gabe zugrunde, ein Verf ahren anzugeben, das es 
bei Wahrung grofitmogHcher Sicherheit gegen Datenmanipulation gestattet, 
einem moglichst grolSen Kreis von Nutzern die Erstellung von ausfiihrbaren 
Programmen fiir programmierbare tragbare DatentrSger zu erlauben. Auf- 
15 gabe der Erfindung ist es weiterhin, die zur Ausfiihrung des Verfahrens no- 
tigen Systenrkomponenten anzugeben. 

Die Auf gabe wird gelost durch ein Verfahren mit den Merkmalen des 
Hauptanspruchs. ErfindungsgemaC werden einem Nutzer ein Programm- 

20 editor zur Erstellung von Programmquelltexten sowie ein vorkomplettierter 
tragbarer DatentrSger zur Verf iigung gestellt, der fiber Sof twarewerkzeuge 
zur Endbearbeitung verfiigt, welche die Umwandlung von in einem Uber- 
gangsformat vorliegendem Transportcode in ausfiihrbaren Programmcode 
erlauben. Die Erstellung eines ausfiihrbaren Programmes fiir den Datentra- 

25 ger erfolgt verteilt. Mit dem Programmeditor erstellt der Nutzer einen Pro- 
grammquelltext, der nachfolgend iiber eine gesicherte Verbindung an einen 
beim Herausgeber des DatentrSgers befindlichen Computer iibermittelt 
wird. Die gesicherte Verbindung kann dabei hergestellt werden, indem ein 
Programmquelltext von dem vorkomplettierten Datentrager selbst zu einem 
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Transportcode verschliisselt und so gegen VerSnderung gesichert wird, daC 
nur ein bestimmter, iiber einen bei einem Herausgeber des Datentragers be- 
findlichen Computer adressierter Empfanger den Transportcode entschliis- 
seln und auf Integritat iiberpriif en kann. 
5 . 

Aus dem eingegangenen Programmquelltext erzeugt der beim Herausgeber 
des Datentragers befindliche Computer durch Kompilieren und Linken ei- 
nen ausf iihrbaren Programmcode. Bestandteil des Kompilier- und Linkvor- 
ganges ist eine formale Verifikation der erzeugten Programmcodes, durch 

10 die insbesondere aggressiver Code ermittelt wird. Den verifizierten, aus- 
fiihrbaren Programmcode setzt der beim Herausgeber des Datentragers be- 
findliche Computer in ein Ubergangsformat um und iibermittelt dieses iiber 
den Computer des Nutzers an den vorkomplettierten, tragbaren DatentrS- 
ger. Dieser iiberf lihrt ihn mit Hilfe der Endbearbeitungsof twarewerkzeuge 

15 wieder in ausfiihrbaren Programmcode und iibernimmt diesen in seinen 
Speicher. 

Vorzugsweise sind die sicherheitsrelevanten Teile der Endbearbeitungssof t- 
ware im vorkomplettierten Datentrager enthalten. Damit werden zweckma- 
20 fiig im vorkomplettierten Datentrager selbst insbesondere die Entschliisse- 
lung und/ oder die Feststellung der Authentizitat und/oder der Integritat 
eines einen Programmcode enthaltenden Transportcodes ausgefiihrt, bevor 
im fehlerfreien Fall der resultierende, ausfiihrbare Programmcode in den 
Speicher des Datentragers abgelegt wird. 

25 

Das erfindungsgemafie Verfahren schcifft eine sichere ,,Ende-zu-Ende"- 
Verbindung zwischen einem bei einem Herausgeber bef indlichen Computer 
und einem Datentrager uber einen bei einem Nutzer bef indlichen Computer. 
Durch die Gestaltung der Vorkomplettierung und die Wahl der Software- 
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werkzeuge lafit es sich dabei leicht an den Typ und die technischen Moglich- 
keiten der jeweils gegebenen Datentrager anpassen. Sind die Datentrager 
nur fur die Ausfilhrung von symmetrischen Verschliisselungsverfahren ein- 
gerichtet, erfolgt die Herstellung einer gesicherten „Ende-zu-Ende''- 
5 Verbindung zweckmaGig durch Verwendung eines symmetrischen karten- 
individuellen Schliissels einerseits, und einer tiberlagerten, vereinfachten 
asymmetrischen Verschlusselung auf der Datenverbindung zwischen dem 
Computer des Nutzers und dem beim Herausgeber des DatentrSgers be- 
findlichen Computer andererseits. In einer altemativen Ausfuhrung erfolgt 

10 zur Sicherung der Dateniibertragung zwischen dem Computer des Nutzers 
und dem beim Herausgeber des Datentragers befindlichen Computer eine 
asymmetrische Verschlusselung mit wechselseitiger Authentifizierung und 
wird die gesicherte „Ende-zu-Ende" -Verbindung zwischen dem beim Her- 
ausgeber befindlichen Computer und dem Datentrager mit den Mechanis- 

15 men des Secure-Messaging eingerichtet. 

Sind die Datentrager fur die Ausfuhrung von asymmetrischen Verschliisse- 
lungsverfahren eingerichtet, wird zweckmafiig zwischen dem beim Heraus- 
geber des Datentragers befindlichen Computer imd dem Datentrager direkt 
20 eine durch asymmetrische Verschlusselung gesicherte „Ende-zu-Ende"- 

Verbindung ausgebildet. Der Computer des Nutzers fungiert dabei lediglich 
als Mittler. 

Das erfindungsgemafie Verfahren hat den Vorteil, dafi die Erstellung von 
25 ausfiihrbaren Programmen fiir einen Datentrager grundsatzlich beliebigen 
Nutzem iiberlassen werden kann, ohne dalS die IdentitSt des Nutzers f estge- 
stellt und verwaltet werden muCte. Da der Herausgeber der Datentrager in 
jede Progranmierstellung einbezogen wird, ist die Sicherheit der erzeugten 
Programme und dariiber des gesamten Systems stets gewahrleistet. Weil 
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insbesondere die Compilerfunktionalitat beim Herausgeber der Datentrager 
verbleibt, miifi wichtiges und sicherheitsrelevantes Know-How nicht an die 
Nutzer ubergeben warden. 

5 Durch Gestaltung der Compilerfunktionalitat derart, daC direkte, unver- 
schliisselte Zugriffe atxf von Nutzem stammende Programmquelltexte oder 
erzeugte ausfiihrbare Programmcodes blockiert werden, lafit sich umgekehrt 
sicherstellen, dafi anwendungsspezifisches Know-How der Nutzer vor dem 
Herausgeber geschiitzt wird. Zweckmafiig wird hierzu in dem beim Heraus- 

10 geber befindlichen Computer ein Hardware-Sicherheitsmodul eingesetzt, in 
dem die Copipilerfunktionalitat, die Ver^/Entschlxisselung von Program- 
men, die Priifung/Erstellung von Signaturen sowie die Authentisierung 
ausgefiihrt werden. Aufierhalb des Hardware-Sicherheitsmodules erschei- 
nen Programmquelltexte oder ausfiihrbare Programmcodes nur in ver- 

15 schliisselter Form. 

Durch die formale Verif ikation neu erstellter Programme beim Herausgeber, 
d.h. in sicherer Umgebung, kann ferner sehr zuverlassig die Einbringung 
aggressiver Programmcodes in mittels eines DatentrSgers nutzbare Systeme 

20 verhindert werden. Zudem ergibt sich der Vorteil, dafi alle erstellten aus- 
fuhrbaren Programme mit dem jeweils aktuellsten Compiler kompiliert 
werden. Das erfindungsgemafie Verfahren kann dabei online oder offline 
ausgefiihrt werden. Fiir die Herausgeber von Datentragern eroffnet das er- 
findungsgemafie Verfahren sogar die Moglichkeit, die Erstellung der jeweils 

25 gewiinschten lauff ahigen Anwendungsprogramme ganzlich den Nutzern zu 
iiberlassen und die Datentrager iiberhaupt nur in vorkomplettierter Form 
auszuliefern. Die durch die verteilte Programmerstellung stets erzwungene 
Einbindung des Herausgebers in eine Programmerstellung. ermoglicht des- 
weiteren die Einf iihrung von Nutzungsmethoden, die Gebiihrenmodelle 
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verwenden, welche z.B. auf der Zahl oder der Art der auf einen Datentrager 
gebrachten ausfuhrbaren Programme beruhen. 

Ein Ausfiihrungsbeispiel der Erfindung wird nachfolgend unter Bezugnah- 
5 me auf die Zeichnung naher erlautert. 

Es zeigen: 

Fig. 1 ein System zur Ausf iihrung einer Programmerstellung, 

10 

Fig. 2 die Struktur des integrierten Schaltkreises eines programmier- 

baren, tragbaren Datentragers, 

Fig. 3 . die Struktur eines zweiten Computers, 

15 

Fig. 4 den grundlegenden Ablauf einer verteilten Programmerstel- 

lung, 

Fig. 5 bis 7 Flufidiagramme zur Veranschaulichung des Ablaufes einer 
20 Programmerstellung, 

Fig. 8 das Prinzip einer Online-Prtifung eines erstellten Programmes 

auf Lauff ahigkeit. 

25 Fig. 1 veranschaulicht die grundlegende Struktur eines Systems zur verteil- 
ten Erstellung eines Programmes fiir einen programmierbaren, tragbaren 
Datentrager. Ein erster, fiir einen Datenaustausch mit einem tragbaren Da- 
tentrager 10 ausgebildeter Computer 20 ist iiber eine Datenverbindung 28 
mit einem zweiten Computer 30 verbunden. 
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Der erste Computer 20 befindet sich bei einem Nutzer, etwa bei einer Bank, 
einer Versicherung, einem Einzelhandler, einer medizinischen Einrichtung 
Oder dergleichen oder bei einem Dienstleister, der im Auftrag der vorge- 
5 nannten Eiririchtungen Programme erstellt. Er besitzt eine erste, kontaktie- 
rend oder beriihrungslos arbeitende Schnittstelle 24, die z.B. als Kontaktfeld, 
in Form einer Spule oder als optischer Signalgeber realisiert sein kann und 
die einen Datenaustausch mit einem tragbaren Datentrager 10 ermoglicht. 
Uber eine weitere Schnittstelle 26 ist er an eine Datenverbindung 28 ange- 

10 schlossen. Uber beide Schnittstellen 24, 26 verbindet der Nutzercomputer 20 
den Datentrager 10 mit der Datenverbindung 28. Der Nutzercomputer 20 
stellt dem DatentrSger 10 dabei Zusatzfunktionen bereit. Insbesondere ge- 
stattet er den Betrieb eines, im folgenden kurz Editor genannten, Editie- 
rungsprogrammes 22, das die Erstellung von Quelltexten von Programmen 

15 fur einen Datentrager 10 erlaubt. 

Fur den programmierbaren, tragbaren Datentrager 10 wird anschliefiend die 
Form einer Chipkarte zugrundegelegt. Auf diese Erscheinungsform ist er 
aber keineswegs beschrSnkt. Der Datentrager 10 kann vielmehr, angepafit an 

20 die jeweilige Nutzung, auch anders ausgebildet sein, etwa in Gestalt einer 
Uhr, als Schreibmittel usw. Unabhangig von seiner kortkreten Erscheinungs- 
form besitzt der tragbare Datentrager 10 jeweils eine zur Schnittstelle 24 des 
Nutzercomputers 20 korrespondierende Schnittstelle 14, welche einen Da- 
tenaustausch mit einem Nutzercomputer 20 ermoglicht. Desweiteren besitzt 

25 der tragbare Datentrager 10 einen integrierten Schaltkreis 12, welcher eine 
zentrale Prozessoreinheit sowie einen Speicher zur Aufnahme des Pro- 
grammcodes wenigsteris eines durch die zentrale Prozessoreinheit ausfiihr- 
baren Anwendungsprogrammes aufweist. 
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Der zweite Computer 30 bef indet sich typischerweise bei einem Herausgeber 
von tragbaren Datentragem 10 oder bei einem autorisierten Betreiber des 
hier beschriebenen Verfahrens. In der Regel besitzt er eine im Vergleich zu 
der des Nutzercomputer 20 bzw. des tragbaren Datentragers 10 wesentlich 
5 grofiere Rechenleistung. Der zweite Computer 30 muG dabei nicht als bauli- 
che Einheit realisiert sein. Er karm vielmehr auch als System mit verteilten 
Komponenten ausgefiihrt sein, welche uber ein spezielles Datennetz ver- 
bunden sind. Zur Speicherung bzw. zur Ausfuhrimg sicherheitskritischer 
Funktionen kOnnen Hardware-Sicherheitsmodule eingesetzt sein. Uber eine 
10 Schnittstelle 34 ist der zweite Computer 30 an die Datenverbindung 28 ange- 
schlossen. Der zweite Computer 30 ist insbesondere dazu ausgebildet, ein 
Kompilierungsprogramm 310 zur Umsetzung eines in einer Programmier- 
hochsprache vorliegenden Quelltextprogrammes in Maschinensprache auis- 
zufiihren; er wird deshalb nachfolgend als Compilerserver bezeichnet. 

15 

Die Datenverbindung 28 hat iiblicherweise die Gestalt eines Datennetzes 
und karm insbesondere durch das Internet realisiert sein. Obwohl in Fig. 1 
nur eine Verbindung zwischen zwei Komponenten 20, 30 gezeigt ist, konnen 
liber die im folgenden Datennetz genannte Datenverbindung 28 auch mehre- 
20 re Nutzercomputer 20 mit einem oder auch mehreren Compilerservern 30 
verbunden sein. 

Fig. 2 zeigt die Struktur des integrierten Schaltkreises 12 einer Chipkarte 10 
mit als Vorkomplettierung aufgebrachten Softwarewerkzeugen. Der inte- 
25 grierte Schaltkreis 12 besitzt eine fiir Chipkartenprozessoren typische Archi- 
tektur und weist eine zentrale Prozessoreinheit 100, einen fluchtigen Arbeits- 
speicher 102, sowie eine nichtfltichtige Speicheranordnung 104 auf, letztere 
bestehend aus einem nichtfliichtigen Nur-Lese-Speicher sowie einem nicht- 
fliichtigen, wiederbeschreibbaren Speicher. Ublicherweise ist der fliichtige 
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Arbeitsspeicher 102 ein RAM-Speicher, der nichtfliichtige Nur-Lese-Speicher 
ein ROM-Speicher und der nichtfluchtige, liberschreibbare Speicher ein 
EEPROM-Speicher. Aufier diesen genannten kOnnen beliebige andere, die- 
selbe Funktionalitat aufweisenden Speichertypen eingesetzt werden. Die 
5 zentraile Prozessoreinheit 100 ist ferner mit der Schnittstelle 14 verbunden. 

In der nichtfliichtigen Speicheranordnung 104 befindet sich eine Anzahl von 
zur Nutziing des Datentragers 10 benotigten Sof twarewerkzeugen, welche in 
einer Vorkomplettierungsphase vor Ubergabe des Datentragers 10 an einen 

10 Nutzer angelegt werden. Unter Softwarewerkzeugen soUen hierbei alle nicht 
durch einen Nutzer veranderbaren Programme, Routinen oder Datensatze 
verstanden werden, die bedcirfsweise zur Ausf lihrung jeweils bestimmter 
Datenverarbeitungsauf gaben einsetzbar sind. Im Rahmen der Vorkomplet- 
tierung angelegt wird dabei zum einen eine ausf iihrungsimabhangige, stets 

15 gleichartige Kartengrundausstattung 110. Sie umfafit zumindest das Be- 
triebssystem 111, einen Basisprogrammcode 112 zur Realisierung von An- 
wendungen, die sich bereits bei Ubergabe an den Nutzer auf der Chipkarte 
10 befinden, sowie einen Speicherbereich 113 zur spateren Aufnahme von 
nachgeladenem, ausfuhrbarem Programmcode. 

20 

Zum anderen wird eine auf die jeweils gewahlte Ausfiihrungsvariante abge- 
stimmte Auswahl der folgenden Softwarewerkzeuge angelegt: eine fur den 
integrierten Schaltkreis 12, und damit fiir die Chipkarte 10, individuelle und 
eindeutige Identifikationsinformation 114, z.B. eine Seriennummer, ein Pro- 
25 gramm 116 zur Ausftihrung asymmetrischer kryptographischer Algorith- 
men, ein Programm 118 zur Durchfiihrung symmetrischer kryptographi- 
scher Algorithmen, ein Programm 120 zur Fuhrung eines Datenaustausches 
nach dem Prinzip des Secure Messagings, ein Programm 122 zur Durchfiih- 
rung eines Datenaustausches iiber das Datermetz 28 gemafi dem SSL- 
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Protokoll, ein chipkartenindividueller Signaturschlxissel 124, ein chipkar- 
tenindividueller symmetrischer Schlussel 126, der effentliche Schliissel 128 
eines der Chipkarte 10 zugeordneten Compilerservers 30, ein privater Kar- 
tenschliissel 130 zur Verwendung in einem asymmetrischen Verschliisse- 
5 lungsverfahren, ein Zertifikat 132, welches die Zusammengehorigkeit zwi- 
schen off entlichen Kartenschliisseln und Identif ikationsinformationen mit 
einer Signatur eines Herausgebers bestatigt, Speicherraum zur Aufnahme 
eines Sitzungssschliissel 134 - dieser wird im Unterschied zu den vorgenann- 
ten Schliisseln bei der Aufnahme eines Datenaustausches mit einem Compi- 
10 lerserver 30 jeweils neu erzeugt, sowie ein Sequenzzahler 136. AUe genann- 
ten Softwarewerkzeuge konnen jeweils auch mehrf ach vorhanden sein. Das 
gilt besonders f iir die auf gefiihrten Schlussel, Zertif ikate und den Sequenz- 
zahler. 

15 Fig. 3 veranschaulicht die Struktur eines Compilerservers 30 mit den bei der 
Durchfiihrung einer Programmerstellung eingesetzten Programmen und 
Softwarewerkzeuge. Kern des Compilerservers 30 bildet eine zentrale Pro- 
zessoreinheit 300, welche tiber eine Schnittstelle 34 mit dem Datennetz 28 
verbunden ist, um dariiber einen Datenaustausch mit einem Nutzercompu- 

20 ter 20 und dariiber mit einer Chipkarte 10 zu fiihren. Weiter sind der zen- 

tralen Prozessoreinheit 300 ein fliichtiger Arbeitsspeicher 302, in der Regel in 
Gestalt eines R AM-Speichers, sowie eine nichtfluchtige Speicheranordnung 
304 zugeordnet, welche liblicherweise einen Nur-Lese-ROM-Speicher sowie 
einen Massenspeicher, etwa eine Festplatte, umf afit. 

25 

In der Speicheranordnung 304 sind die zur Durchfiihrung des vorgeschlage- 
nen Verfahrens benotigten Softwarewerkzeuge abgelegt. Fig. 3 zeigt der Ein- 
fachheit wegen eine Ubersicht iiber samtliche im Zusammenhang mit dieser 
Beschreibung in Betracht kommenden Softwarewerkzeuge. Die Auswahl der 
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tatsachlich benfitigten Software werkzeuge hangt, wie bei der Chipkarte 10, 
von der zur Realisierung des Verfahrens konkret gewahlten Ausfiihrungs- 
form. Allgemein kSnnen sich in der Speicheranordnung 304 an Software- 
werkzeugen befinden: Ein, in Fig. 3 Compiler genanntes Compilierungspro- 
5 gramm 310 zur Umsetzung von Programmquelltext in einen Programmcode, 
ein, in Fig. 3 Linker genanntes Linkprogramm 312 zur Einbindung von be- 
reits erstellten Programmcodes in den Kontext eines neu erstellten Pro- 
grammes, eine Codebibliothek 318 mit dem Progranuncode bereits vorhan- 
dener Progranune und Programmteile, eine Datenbank 320 zur Ablage von 

10 bestimmten Nutzem zxigeordneten Programmcodes, ein Debug-Programm 
316 zur Priifung eines erstellten Programmes auf Lauffahigkeit, ein Pro- 
gramm 321 zur formalen Verifikation von erzeugten Programmen und/oder 
Quelltexten, ein oder mehrere Hauptschlxissel 324, welche zu dem oder den 
chipkartenindividuellen, symmetrischen Schlusseln 126 korrespondieren, ein 

15 oder mehrere Hauptschliissel 326, welche zu den chipkartenindividuellen 
Schlusseln 124 zur Bildung von Datensicherungscodes, insbesondere MACs 
korrespondieren, einen oder mehrere offentliche Serverschliissel 328 zur 
Durchf iihrung von asymmetrischen kryptographischen Algorithmen, einen 
oder mehrere korrespondierende private Serverschliissel 330, einen oder 

20 mehrere offentliche Kartenschliissel 332 zur Durchfuhrung asymmetrischer 
Algorithmen, ein oder mehrere Serverzertifikate 334, ein oder mehrere Se- 
quenzzahler 338, sowie eine Liste mit Zertifikaten, die bei der Herstellung 
der vorkomplettierten Chipkarte 10 gebildet wurden und in der Chipkarte 
10 im Bereich 132 gespeichert werden. Desweiteren beinhaltet die Speicher- 

25 anordnung 304 eine Nutzerliste 340 mit Identif ikationsinf ormationen, die ei- 
ne eindeutige Identif izierung einer Chipkarte ermoglichen; Identif ikationsin- 
formationen zur Identifizierung von Chipkarten 10 kOnnen beispielsweise 
deren Seriennummem sein. 
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Zweckmafiig werden in einem Compilerserver 30 bei der praktischen Urn- 
setzung des Verfahrens von den vorgenannten Sof twarewerkzeugen nur die 
tatsSchlich benotigten eingerichtet, die jeweils nicht benotigten weggelassen. 

5 Bedeutung und Verwendung der in der vorkomplettierten Chipkarte 10 
bzw. dem Compilerserver 30 vorhandenen Softwarewerkzeuge werden 
nachfolgend anhand der Fig. 4, die den grundlegenden Ablauf einer verteil- 
ten Programmerstellung zeigt, sowie der Fig. 5 bis 7 erlautert, die drei Aus- 
fiihrungsformen einer verteilten Programmerstellung veranschaulichen. 

10 

Fig. 4 zeigt zunachst den grundlegenden Ablauf einer verteilten Pro- 
grammerstellung. In einer Vorbereitungsphase werden einem Nutzer eine 
durch Aufbringen von Sof twarewerkzeugen vorkomplettierte Chipkarte 10 
sowie ein Editor 22 zur Verfiigung gestellt, Schritt 400. Mit dem Editor 22 er- 
15 stellt er auf dem Nutzercomputer 20 einen Programmquelltext Q, Schritt 402. 
Durch Anwendung einer geeigneten Verschliisselungstechnik wird dieser 
mit einer Transportsicherung versehen, Schritt 404, und in einen Transport- 
code T, TQ, TQssL liberfuhrt, Schritt 406. Der Transportcode T, TQ, TQssl 
wird an den Compilerserver 30 iibermittelt; Schritt 408. 

20 

Der Compilerserver 30 hebt durch Entschlusselung die Transportsicherung 
auf, Schritt 410, und gewirmt den in dem Transportcode T, TQ, TQssl enthal- 
tenen Programmquelltext Q zuriick, Schritt 412. Den Programmquelltext Q 
kompiliert, bindet und verifiziert er anschlieCend, Schritt 414. Es resultiert 
25 ein lauffahiger Programmcode C, Schritt 416, der nachfolgend wiederum 
transportgesichert wird, Schritt 418. Er wird hierzu durch Anwendung ge- 
eigneter Verschliisselungsmechanismen, die nicht mit den zuvor auf Seiten 
des Nutzercomputers 20 angewandten iibereinstimmen miissen, in ein 
Ubergangsformat U, Usm, Ussl iiberfuhrt, Schritt 420. In diesem Ubergangs- 
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format wird er fiber den Nutzercomputer 20 an die Chipkarte 10 libermittelt, 
Schritt422. 

Jene ermittelt unter Verwendung der bei der Vorkomplettierung angelegten 
5 Sof twarewerkzeuge aus dem im Nutzercomputer 20 eingegangenen Trans- 
portcode U, Usm, Ussl durch Entschliisselung wieder den lauff ahigen Pro- 
grammcode C und ladt diesen schlieClich in seinen Speicher. 

Fig, 5 zeigt eine verteilte Programmerstellung, bei der die Datensicherheit 
10 durch Nutzung von auf der Chipkarte 10 vorbereiteten Mitteln in Wechsel- 
wirkung mit dem Compilerserver 30 erreicht wird. Die in Fig. 5 dargestellte 
Ausf iihrungsform eignet sich besonders fiir Systeme, in denen die verwen- 
deten Chipkarten 10 nur symmetrische Verschltisselungstechniken beherr- 
schen. 

15 

Fig. 6 zeigt eine Ausf iihrungsform, bei der die zwischen Nutzercomputer 20 
und Compilerserver 30 iiber das Datennetz 28 erfolgende Dateniibertragung 
mittels eines SSL-ProtokoUs gesichert ist, v^ahrend der direkt zwischen 
Chipksirte 10 und Compilerserver 30 erfolgende Datentrsinsport gemafi dem 
20 Secure-Messaging Mechanismus ausgefiihrt wird. Die Ausfuhrungsform 
eignet sich ebenfalls fur Systeme, in denen die verwendeten Chipkarten 10 
nur symmetrische Verschltisselungstechniken erlauben. 

Fig. 7 veranschaulicht eine Ausfuhrungsform, bei der der Nutzercomputer 
25 20 im wesentlichen nur als Mittler zwischen Chipkarte 10 und Compilerser- 
ver 30 wirkt. Die Sicherung der zwischen Chipkarte 10 und Compilerserver 
30 transportierten Daten erfolgt, indem zwischen Compilerserver 30 und 
Chipkarte 10 unter Verwendung des SSL-ProtokoUs direkt eine gesicherte 
„Ende-zu-Ende"-Verbindung eingerichtet wird. 
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Tabelle 1 veranschaulicht systematisch die Anwendbarkeit der drei nachf ol- 
gend anhand der Fig. 5, 6, 7 beschriebenen Ausf iihrungsf ormen in Abhan- 
gigkeit von der Durchfiihrung der Dateniibertragung, der Ausstattungsan- 
5 forderungen an die Chipkarte 10 und der Art der Transportsicherung. 



Tabelle 1 



Verfah- 
ren 


Dateniibertra- 
gung 


Anf orderung an Chipkar- 
te 


Art der Transport- 
sicherung 


Fig 5 


Offline 


Nur symmetrische Algo- 
rithmen 


Verschliisselung 
und MAC durch 
Chipk. 


Fig. 6 


Online 


Symmetrische xind/ oder 
asynunetrische Algorith- 
men 


Secure Messaging 
durch Chipkarte 


Fig. 7 


Online 


Symmetrische und asym- 
metrische Algorithmen 


SSL durch Chip- 
karte 



Die linke Spalte in den Fig. 5, 6, 7 zeigt jeweils die Aktivitaten des Compiler- 
10 servers 30, die rechte die Aktivitaten des Nutzercomputers 20 bzw. der 

Chipkarte 10, wobei „N" den Nutzercomputer 20 bezeichnet, „K" die Chip- 
karte 10, 

Der in Fig.5 dargestellten Programmerstellung vorgeschaltet ist eine Vorbe- 
15 reitungsphase. Darin vsrerden dem Nutzer durch den Herausgeber eine vor- 
komplettierte Chipkarte 10, Schritt 500, sowie ein Editor 22 zur Einrichtung 
auf seinem Computer 20, Schritt 502, bereitgestellt. Auf der yorkomplettier- 
ten Chipkarte 10 befinden sich bzw. sind neben der Grundausstattung 113 
eingerichtet: eine Identifikationsinformation ID im Speicherbereich 114, ein 
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Programm 118 zur Durchfuhrung von symmetrischen Kryptoalgorithmen, 
etwa des „3DES"-Algorithmus, mindestens ein kartenindividueller Schlussel 
Kmac zur Bildung eines Datensicherungscodes, vorzugsweise in Gestalt eines 
MACs, im Speicherbereich 124, mindestens ein Schlussel Kenc zur symmetri- 
5 schen Verschliisselung im Speicherbereich 126, sowie Speicherplatz 134 zur 
Aufnahme wenigstens zweier Sitzungsschltissel SKenc, SKmac Weiter sind 
auf der vorkomplettierten Chipkarte 10 wenigstens zwei Sequenzzahler 136 
mit Werten SEQc, SEQh. eingerichtet. Der Sequenzzahler SEQc dient dabei 
ziir Berechnung der Sitzungsschltissel SKenc, SKmac die zur sicheren Uber- 
10 tragung von Programmquelltexten Q vom Nutzercomputer 20 zum Compi- 
lerserver 30 genutzt werden, der Sequenzzahler SEQh dient zur Berechnung 
von Sitzungsschlusseln SKenc, SKmac die zur sicheren Ubertragung von 
Programmcodes C vom Compilerserver 30 zum Nutzercomputer 20 genutzt 
werden. 

15 

Auf dem Compilerserver 30 werden ftir jede ausgegebene Chipkarte 10 zwei 
Sequenzzahler 338 mit Werten den SEQc, SEQh eingerichtet. Die Werte 
SEQc, SEQh stimmen, damit der Compilerserver 30 nach der gleichen Re- 
chenvorschrift, wie sie die Chipkarte 10 einsetzt, die Sitzungsschltissel 

20 SKenc, SKmac berechnen kann, stets mit den Werten der korrespondierenden 
Sequenzzahler 136 der zugeordneten Chipkarte 10 uberein. Zur Erhohung 
der Sicherheit werden bei jeder tJbertragung von Programmquelltexten Q 
bzw. Programmcodes C andere Sitzungsschltissel SKenc, SKmac verwendet. 
Zu diesem Zweck erhohen Chipkarte 10 und Compilerserver 30 jeweils vor 

25 der Berechnung von Sitzungssschltissel SKenc, SKmac die Werte SEQc bzw, 
SEQh der Sequenzzahler 136, 338. 

Der Editor 22 erlaubt die Erstellung von Programmquelltext Q, z.B. in einer 
Programinierhochsprache. Vorzugsweise untersttitzt er die Programmer- 
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stellung durch eine graphisch unterlegte, dialoggesteuerte Eingabefiihrung 
und bietet direkt nutzbare Entwicklungshilfsmittel wie eine Syntaxpriifung 
Oder die Einbindung von Programmschnittstellen zur Codebibliothek. 

5 Stehen Chipkarte 10 in vorkomplettierter Form und Nutzercomputer 20 be- 
reit, erstellt der Nutzer unter Verwendung des Editors 22 den Pro- 
grammquelltext Q eines zur Einbringung in eine Chipkarte 10 bestimmten 
Programmes, Schritt 504. Vorzugsweise erfolgt die Erstellung in einer Pro- 
grammierhochsprache, generell ist aber auch jedes andere Format moglich. 

10 Ist ein Programmquelltext Q erstellt, beauftragt der Nutzer die Chipkarte 10 
liber den Editor 22 mittels eines entsprechenden Befehles, den Pro- 
grammquelltext Q zu verschlusseln und mit einem MAC gegen Verande- 
rung zu sichern. Dazu erhoht die Chipkarte 10 zunachst den Sequenz- 
zahlerwert SEQc und generiert die Sitzungssschliissel SKenc und SKmao z.B. 

15 mit dem sytxunetrischen 3DES -Algorithmus, Schritt 506. Anschliefiend ver- 
schliisselt sie den von dem Editor 22 iiber die Schnittstellen 24, 14 erhaltenen 
Programmquelltext Q mit dem Sitzungsschliissel SKenc zu einem Zwischen- 
code Q' und berechnet mit dem Sitzungsschliissel SKmac einen MAC tiber 
Q', Schritt 508. Zwischencode Q' und MAC ubergibt die Chipkarte 10 so- 

20 dann iiber die Schnittstellen 24,14 zuriick an den Editor 22. 

Dieser ermittelt desv^eiteren die im Speicherbereich 114 der Chipkarte 10 
angelegte Kartenidentifikation ID, Schritt 509, und fiigt sie mit dem Zwi- 
schencode sowie dem MAC zu einem Transportcode T zusanunen. Den 
25 derart gebildeten Transportcode T iibermittelt der Nutzercomputer 20 iiber 
das Datennetz 28 an den Compilerserver 30, Schritt 510. Die Cbertragung 
des Transportcodes T kann dabei in beliebiger Weise iiber ein ungesichertes 
Medium erfolgen. Beispielsweise kann der Transportcode T als E-mail iiber- 
tragen oder auf Diskette per Post an den Herausgeber geschickt werden. Da- 
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neben kann der Transportcode T auch online uber das Datennetz 28 an den 
Compilerserver 30 geschickt werden. Vertraulichkeit und Integritat des 
iibermittelten Transportcodes T werden durch die Verschliisselung und die 
MAC Berechnung durch die Chipkarte 10 gewahrleistet. 

5 

Beim Compilerserver 30 eingegangen, pruft dieser zunachst, Schritt 512, ob 
die im Transportcode T enthaltene Identif ikationsinf ormation ID auch in der 
im Compilerserver 30 gef iihrten Identif ikationsliste 340 enthalten ist, die 
vorzugsweise eine Kundenliste bildet. Trifft das zu, leitet er zunachst aus 

10 den in den Speicherbereichen 324, 326 befindlichen Masterschliisseln MKenc 
und MKmac mit Hilfe der Identifikationsinformation ID die zugehorigen 
kartenindividuellen Schliissel Kenc und Kmac ab, Schritt 514. Aus diesen 
Schliisseln sowie dem inkrementierten Sequenzzahler SEQc berechnet der 
Compilerserver 30 sodann die Sitzungsschliissel SKenc und SKmac nach der- 

15 selben Rechenvorschrift, die zuvor die Chipkarte 10 verwendet hat. Mit dem 
Sitzungsschliissel SKmac berechnet der Compilerserver 30 anschliefiend sei- 
nerseits einen MAC\ Schritt 516, und vergleicht ihn mit dem in dem Trans- 
portcode T enthaltenen MAC. Stimmen beide iiberein, erkennt der Compi- 
lerserver 30 den Transportcode T als authentisch, d.h. von der Chipkarte 10 

20 mit der Identifikationsinformation ID kommend, und integer, d.h. nicht bei 
der Ubertragung verandert. 

Hat der Compilerserver 30 einen Transportcode T als authentisch erkannt, 
entschliisselt er den im Transportcode T enthaltenen Programmquelltext Q' 
25 mittels des Sitzungsschliissels SKenc Auf grund der zuvor festgestellten In- 
tegritat des Transportcodes T stimmt das resultierende, entschliisselte For- 
mat mit dem auf dem Nutzercomputer 20 urspriinglich erstellten Pro- 
grammquelltext Q iiberein. 
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Den wiederhergestellten Programmquelltext Q liberf iihrt der Compilerser- 
ver 30 unte^ Verwendung des KompUierungsprogrammes 310 in ein Zwi- 
schenformat, das er anschliefiend mittels des Linkprogrammes 312 unter 
Zugriff auf die Codebibliothek 318 mit bereits vorhandenem Programmcode 
5 verbindet, Schritt 518. 

Kompilierungsprogramm 310 und Linkprogramm 312 sind in einer zweck- 
mafiigen Gestaltung in Form eines Hardware-Sicherheitsmodules ausge- 
ftihrt, welches die Compilier- und Linkfunktionalitat, die Ent- und Ver- 

10 schlusselung der bearbeiteten Programmdaten, die Priifung und Erstellung 
von Signaturen sowie die Authentisierung beinhaltet. Alle bearbeiteten Pro- 
grammdaten, insbesondere eingehende Programmquelltexte Q und erzeugte 
ausfiihrbare Programmcodes C erscheinen dann aufierhalb des Hardware- 
Sicherheitsmodules nur in verschliisselter Form. Auf diese lafit sich sicher- 

15 stellen, dafi anwendungsspezifisches Know-How der Nutzer gegen Einsicht 
und Zugriffe iiber den Compilerserver 30 geschutzt wird. 

ZweckmaCig kann im Compilerserver 30 desweiteren eine Beschrankung des 
Zugriff es auf die Codebibliothek 318 eingerichtet sein, welche z.B. die Ein- 
20 bindung schon vorhandenen Programmcodes in einen neu erzeugten durch 
das Linkprogramm 312 beschrankt. 

Der nach Compilierung und Linken resultierende Programmcode C wird 
mittels des Verifikationsprogrammes 321 formal verifiziert. Dabei wird der 
25 Programmcode C auf offensichtliche Fehler gepriift, etwa auf Einhaltung des 
Adrefiraumes, auf Beachtung der vorgegebenen Speichergrofien, auf 
Typverletzimgen oder auf Aggressivitat, Schritt 520. 
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1st der aus dem Programmquelltext Q erzeugte Programmcode C danach 
verwendungsfahig, d.h. durch die Chipkarte 10 ausfiihrbar, wird er fiir die 
Rtickiibertragung in einen Transportcode U umgewandelt. Hierzu wird zu- 
nachst der Sequenzzahlerwert SEQh erhoht. Mit dem erhohten Sequenz- 
5 zahlerwert SEQh werden anschlieCend aus den Masterschltisseln MKenc 
bzw. MKmac lind der Identifikationsinformation ID die kartenindividuellen 
Schliissel Kenc und Kmac abgeleitet und damit wiederum Sitzungsschliissel 
SKenc und SKmac berechnet, Schritt 522. Die Berechnung der Sitzungsschliis- 
sel SKenc, SKmac durch den Compilerserver 30 erfolgt auf dieselbe Weise 
10 wie sie zuvor, in Schritt 506, vom Nutzercomputer 20 vorgenommen wurde, 
wobei lediglich anstelle des Sequenzzahlerwertes SEQc der Sequenzzahler- 
wert SEQh verwendet wird. 

Nachfolgend wird mit dem Sitzungsschliissel SKenc der Programmcode C 
15 zu einem Zwischencode C verschliisselt und iiber den Zwischencode C mit- 
tels des Sitzungsschliissel SKmac weiterhin ein MAC berechnet, Schritt 524. 
Zwischencode O und MAC^'^ werden sodann zu einem Transportcode U zu- 
sammengefiigt, den der Compilerserver 30 an den Nutzercomputer 20 iiber- 
sendet, Schritt 526. Fiir die Ubersendung des Transportcodes U kann wie im 
20 Falle des Transportcodes T ein beliebiges, insbesondere auch ein an sich un- 
sicheres Obertragungsmedium wie eine Diskette oder der Versand per E- 
mail gewahlt werden. Selbstverstandlich ist daneben auch die Nutzung einer 
Online- Verbindung iiber ein Datennetz 28 moglich. Wird eine Online- 
Verbindung genutzt, besteht die Moglichkeit, zu einem Auftrag, d.h. der Ab- 
25 sendung eines in einem Transportcode enthaltenen Programmquelltextes Q 
an einen Compiler 30, in einer einzelnen Online^Sitzung auch das Ergebnis, 
d.h. einen Transportcode U mit dem Programmcode C" zu erhalten. 
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Der Nutzercomputer 20 leitet den erhaltenen Transportcode U iiber die 
Schnittstellen 24, 14 weiter an die Chipkarte 10, Schritt 528, Jene erhoht den 
Wert SEQh des Sequenzzahlers 136, erzeugt damit auf dieselbe Weise wie 
zuvor der Compilerserver 30 in Schritt 522 die Sitzungssschliissel SKenc 
5 bzw. SKmac und pruft, ob der mit Transportcode U xibermittelte MAC"" 
identisch dem MAC ist, den die Chipkarte 10 selbst mittels des Schliissels 
SKmac aus U berechnen kann, Schritt 530. Stimmen MAC"" und MAC iiber- 
ein, ist der MAC"" aus U erfolgreich verifiziert. Da aufier der Chipkarte 10 
selbst nur der Compilerserver 30 iiber die Moglichkeit verfiigt, den Schlussel 

10 SK MAC zu benutzen, ist der durch Entschliisselung des in dem Transport- 
code U xibermittelten Programmcodes C gewonnenen Programmcode C au- 
thentisch, d.h. er wurde vom Compilerserver 30 aus einen von derselben 
Chipkarte 10 transportgesicherten Programmquelltext Q generiert. Der als 
authentisch erkannte Programmcode C wird von der Chipkarte 10 in den 

15 Kartenspeicher 113 geladen, Schritt 532, 

Fig. 6 zeigt als Flufidiagramm eine Ausfiihrungsform einer verteilten Pro- 
grammerstellung, bei der die zwischen Nutzercomputer 20 und Compiler- 
server 30 fiber das Datermetz 28 erfolgende Datenubertragung mittels SSL 

20 gesichert ist, wahrend der direkte Datentransport zwischen Chipkarte 10 

und Compilerserver 30 mit Hilfe des Secure-Messaging-Mechanismus ausge- 
fuhrt wird. Die Ausfuhrungsform eignet sich wie die in Fig. 5 dargestellte 
Ausfiihrungsform besonders fur eine Online- Ausftihrung in Systemen, in 
denen die verwendeten Chipkarten 10 nur symmetrische Verschliisselungs- 

25 techniken erlauben. 



Eine zur Durchfuhrung der zweiten Ausfuhrungsform vorkomplettierte 
Chipkarte 10 umfafit neben der Grundausstattung 110 mit Betriebssystem 
111, Basisprogrammcode 112 und Speicherraum 113 fiir Komplettierungs- 
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programmcode, eine Routine 120 zur Durchfiihrung des Secure-Messagings, 
einen privaten Kartenschlussel 130 sowie einen offentlichen Serverschltissel 
128. Der Nutzercomputer 20 verfiigt ferner uber die Programrnfunktionalitat 
zur Ausfiihrung des SSL-Protokolls ohne Authentisierung von Chipkarten. 

5 

Die Durchfiihrung einer Programmerstellung in der zweiten Ausfiihrungs- 
f orm entspricht zunachst der ersten Ausf lihrungsf orm gemafi Fig. 5 und urn- 
fafit die Schritte 500 bis 504. 

10 Liegt ein Programmquelltext Q vor, richtet der Nutzer iiber das Datennetz 
28 eine Verbindung zwischen seinem Computer 20 und dem Compilerserver 
30 des Herausgebers ein, Schritt 600. 

1st die physikalische Verbindung zum Compilerserver 30 hergestellt, wird 
15 zwischen Nutzercomputer 20 und Compilerserver 30 ein SSL-ProtokoU ge- 
startet. Nutzercomputer 20 und Compilerserver 30 bestimmen dabei jew^eils 
einen Sitzungsschliissel SKssl, Schritte 601, 602. AnschlieCend wird innerhalb 
des SSL-Protokolls ein sogenannter IP-Tunnel zwischen Compilerserver 30 
und Chipkarte 10 zur Ausfiihrung des Secure-Messagings eingerichtet, 
20 Schritt 604. Im Nutzercomputer 20 wird dabei das von der Chipkarte 10 
durchgef lihrte ProtokoU des Secure-Messagings in das, nur zwischen Nut- 
zercomputer 20 und Compilerserver 30 eingesetzte SSL-ProtokoU eingebet- 
tet. In dem iP-Tunnel werden nachf olgend chipkartenspezifische Datensatze, 
vorzugsweise in Gestalt von APDUs (Application Protocol Data Unit) direkt 
25 zwischen Chipkarte 10 und Cpmpilerserver 30 transportiert. In Bezug auf 

das Secure-Messaging fungiert der Nutzercomputer 20 nur als reiner Mittler. 



Gemafi dem Secure-Messaging fiihren Chipkarte 10 und Compilerserver 30 
sodann eine wechselseitige Authentif izierung durch, wobei sich zunachst die 
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Karte 10 gegeniiber dem Compilerserver 30 authentisiert, Schritt 606, an- 
schlieCend der Compilerserver 30 gegeniiber der Karte 10, Schritt 608. Ver- 
lauft die wechselseitige Authentifizierung zwischen Chipkarte 10 und Com- 
pilerserver 30 erfolgreich, wird die Nutzung aller Furiktionen des Compiler- 
5 servers 30 mittels des Nutzercomputers 20 freigegeben, Schritt 610. 

Liegt die Nutzungsfreigabe vor, verschliisselt der Nutzercomputer 20 den 
erstellten Programmquelltext Q mit dem vorher bestimmten Sitzungsschliis- 
sel SKsES und ubermittelt den daraus resultierenden Transportcode TQ an 
10 den Compilerserver 30, Schritt 612. 

Im Compilerserver 30 eingegarigen wird der Transportcode TQ mit Hilfe des 
zuvor im Compilerserver 30 generierten Sitzungsschliissel SKssl wieder ent- 
schliisselt, Schritt 614, und in den auf dem Nutzercomputer 20 erstellten 

15 Quelltext Q uberfiihrt. Zweckmafiig erfolgt die Ausfiihrung der Schritte 610, 
612, 614 in Form eines kontinuierlichen Datenaustausches zwischen Nutzer- 
computer 20 und Compilerserver 30, so daJS die Wiederherstellung des 
Quelltextes Q im Compilerserver 30 unmittelbar nach Erhalt des letzten ver- 
schliisselten Quelltextdatensatzes vom Nutzercomputer 20 abgeschlossen 

20 wird. 

Aus dem Quelltext Q erzeugt der Compilerserver 30 sodarm durch Ausfiih- 
rung der anhand der Fig. 5 beschriebenen Schritte 518 und 520 einen aus- 
fiihrbaren Programmcode C. 

25 

Den ausfiihrbaren Programmcode C wandelt der Compilerserver 30 durch 
Anwendung der Secure-Messaging-Mechanismen in gesicherten Pro- 
grammcode CsM, Schritt 620. Den gesicherten Programmcode Csm iiberfuhrt 
er anschliefiend durch Verschliisselung mit Hilfe des Sitzungsschliissel SKses 
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in einen in einem Ubergangsf ormat vorliegenden Transportcode UCsm, 
Schritt 622. Durch die Verschliisselung mit dem Sitzungsschltissel SKses wird 
der, typischerweise in Gestalt von APDUs vorliegende, gesicherte Pro- 
grammcode Csm in eine Sicherung der Dateniibertragung iiber das Daten- 
5 netz 28 zwischen Compilerserver 30 und Nutzerconaputer 20 eingebettet. 

Den im tJbergangsformat vorliegenden Transportcode UCsm iibermittelt der 
Compilerserver 30 an den Nutzercomputer 20. Dieser entschliisselt UCsm 
mittels des Sitzungssschlussels SKses, Schritt 626, wodurch die zum Schutz 
10 der Dateniibertragung zwischen Compilerserver 30 und Nutzercomputer 20 
angebrachte Sicherung wieder entfernt wird. Den danach vorliegenden ent- 
schliisselten, gemafi dem Secure-Messaging gesicherten Programmcode Csm 
libergibt der Nutzercomputer 20 an die Chipkarte 10, Schritt 624. 

15 In der Chipkarte 10 wird der gesicherte Programmcode Csm durch Anwen- 
dung der umkehrenden Secure-Messaging-Mechanismen wieder in ausfiihr- 
baren Programmcode C zuriickgefiihrt, Schritt 628, und schliei3Iich in die 
Speicheranordnung 104 in den dort zur Aufnahme von Komplettierungs- 
programmcode vorbereiteten Bereich 113 geladen, Schritt 630. 

20 

Aus Grtinden der Klarheit wurde vorstehend der in Fig. 6 dargestellte Ver- 
fahrensablauf als sequentielle Folge von separaten Schritten beschrieben. In 
der Praxis beinhalten die zwischen Chipkarte 10, Nutzercomputer 20 und 
Compilerserver 30 erfolgenden Dateniibertragungen in der Kegel einen Da- 
25 tenaustausch in jeweils beiden Richtungen. SinnvoU ist es zudem, Verf ah- 
rensschritte, fiir die das moglich ist, in Form eines kontinuierlichen, quasi- 
parallelen Datenaustausch- und Verarbeitungsprozesses auszuf iihren, in 
dem Compilerserver 30 und Nutzercomputer 20 bzw. Chipkarte 10 Verfah- 
rensschritte.zeitlich iiberlagernd ausfiihren. Zweckmafiig ist dies z.B. fiir die 
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Schritte 620 bis 630: sie werden vorzugsweise in Gestalt eines kontinuierli- 
chen Datenaustausches zwischen Compilerserver 30 und Nutzercomputer 20 
ausgefiihrt, in dem eine Ubertragung von Datensatzen des Transportcbdes 
UCsM zum Nutzercomputer 20 bereits stattf indet, wahrend auf dem Compi- 
5 lerserver 30 noch die Umsetzung des Programmcodes C gemafi dem Secure- 
Messaging erf olgt, und in dem die vom Compilerserver 30 xiber den Nutzer- 
computer 20 an die Chipkarte 10 iibertragenen Datensatze durch diese un- 
mittelbar vor dem Laden in den Speicherraum 113, d.h. ohne Zwischenspei- 
cherung bis zum voUstandigen Eingang, entschliisselt werden. 

10 

Fig. 7 veranschaulicht eine v^eitere Ausfiihrungsform der anhand der Fig. 4 
beschriebenen Programmerstellung, bei der der Nutzercomputer 20 im we- 
sentlichen nur als Mittler zwischen Chipkarte 10 und Compilerserver 30 
wirkt. Die Sicherung der zwischen Chipkarte 10 und Compilerserver 30 
15 transportierten Daten erfolgt, indem zwischen Compilerserver 30 und Chip- 
karte 10 unter Verwendung des SSL-ProtokoUs eine gesicherte, direkte „En- 
de-zu-Ende"-Verbindung eingerichtet wird. 

Die Vorkomplettierung einer zur Durchfiihrung dieser Ausfuhrungsvariante 
20 geeigneten Chipkarte 10 beinhaltet neben der Einrichtung der Grundausstat- 
tung 110 mit Betriebssystem 111, Basisprogrammcode 112 und Speicherbe- 
reich fiir Komplettierungsprogrammcode 113 das Anlegen eines Program- 
mes 122 zur Ausfiihrung des SSL-ProtokoUs, die Hinterlegung eines Zertifi- 
kates 132, die Hinterlegung des privaten Kartenschliissels 130 sowie die Hin- 
25 terlegung des offentlichen Serverschliissels 128. 



Die Durchfiihrung des Verfahrens gemaJS Fig. 7 entspricht zunachst d^r an- 
hand der Fig. 5 beschriebenen Ausfuhrungsform und umf aCt die Schritte 500 
bis 504. Sie werden gefolgt von der Eirurichtung einer Verbindung zwischen 
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der Chipkarte 10 und einem Compilerserver 30 liber den Nutzercomputer 
20, Schritt 700. 

Chipkarte 10 und Compilerserver 30 ftihren nun ein voUstandiges SSL- 
5 Protokoll aus. Innerhalb der Handshake-Prozedur erfolgt hierbei eine wech- 
selseitige Authentifizierung, indem zum einen das Compilerserverzertifikat 
332 durch die Chipkarte 10 gepriift wird, Schritt 701, zum anderen das in der 
Chipkarte 10 angelegte Zertifikat 132 durch den Compilerserver 30, Schritt 
702. 1st nach der w^echselseitigen Zertif ikatspriifung eine Weiterfiihrung des 
10 Datenaustausches moglich, generieren Chipkarte 10 und Compilerserver 30 
jeweils einen Sitzungsschliissel, Schritt 704 bzw. 706. 

Die in Fig. 7 veranschaulichte Ausf iihrungsf orm eignet sich besonders zur 
Online-Durchfuhrung. Nach Herstellung einer sicheren Datenverbindung 

15 zwischen Chipkarte 10 und Compilerserver 30 karm deshalb vorgesehen 
sein, daC der Nutzer unter einer Ausv^^ahl mehrerer moglicher Betriebsop- 
tionen zur Weiterbearbeitung eine Ausv^ahl treffen mufi. In diesem Fall sen- 
det der Compilerserver 30 nach Herstellung der sicheren Datenverbindung 
eine Anbietungsmitteilung iiber die m5glichen Betriebsoptionen an den 

20 Nutzercomputer 20, Schritt 708. Aus den mitgeteilten Optionen w^ahlt der 
Nutzer liber den Nutzercomputer 20 die gewunschte aus, etw^a eine Pro- 
grammerstellung mit Online-Ubersetzung, Schritt 710, oder einen Debug- 
Modus, in dem die Ausfiihrbarkeit eines neu erzeugten Programmcodes on- 
line festgestellt wird. 

25 

Zur Erhehung der Sicherheit der Dateniibertragung zum Compilerserver 30 
karm nachf olgend optional eine Signatur des Programmquelltextes Q durch 
die Chipkarte 10 vorgesehen sein, Schritt 711. Die Signatur erfolgt in an sich 
bekannter Weise, indem die Chipkarte 10 iiber den Quelltext Q einen Hash- 
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wert bildet und diesen mit dem privaten Schltissel 130 der Chipkarte ver- 
schliisselt. Die Hashwertbildung kann dabei, insbesondere bei nicht ausrei- 
chenden Hardwareresourcen anf einer Chipkarte 10, durch den Nutzercom- 
puter 20 erf olgen. 

5 

Den, gegebenenf alls signierten Programmquelltextcode verschliisselt die 
Chipkarte 10 mit dem zuvor bestimmten Sitzungsschliissel SKssl zu einem 
Transportcode TQssl, Schritt 712, den sie anschliefiend iiber den Nutzercom- 
puter 20 an den Compilerserver 30 sendet, Schritt 714. 

10 

Jener entschlxisselt den eingegangenen Transportcode TQssl wieder mit dem 
Sitzungsschliissel SKses, Schritt 716, um den Programmquelltext Q wieder- 
herzustellen. Falls eine Signatur vorhanden ist, pruf t er durch erneute Bil- 
dung des Hashwertes unter Verwendung des Offentlichen Kartenschliissels 
15 332 deren Richtigkeit. 

Aus dem wiederhergestellten Programmquelltext Q erzeugt der Compiler- 
server 30 anschliefiend durch Ausfiihrung der Schritte 518, 520 einen aus- 
fiihrbaren Programmcode C. 

20 

Den erzeugten Prograiruncode C versieht der Compilerserver 30 mit einer 
Signatur, die er durch Bildung eines Hashwertes und Verschliisseln des 
Hashwertes mit dem privaten Schliissel 330 des Compilerservers 30 erzeugt. 
Den entstandenen, signierten Code verschliisselt er sodann mit dem offentli- 
25 Chen Schltissel 332 der Chipkarte 10, Schritt 718. Das danach vorliegende 
Chiffrat iiberfiihrt der Compilerserver 30 nachfolgend durch Verschlusseln 
mit dem Sitzungsschliissel SKses in ein Ubergangsf ormat Cssl, Schritt 720, 
das er als Transportcode schliefilich an den Nutzercomputer 20 iibermittelt, 
Schritt 722. 
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Dieser leitet den eingegangenen Transportcode Cssl an die Chipkarte 10 wei- 
ter, Schritt 724 welche daraus durch Entschliisselung mit dem Sitzungs- 
schlussel SKsEs wieder das Chiffrat des ausf iihrbaren Programmcodes gene- 
5 riert, Schritt 725. Falls der Programmcode C im Compilerserver 30 signiert 
wurde, entschliisselt die Chipkarte 10 das Chiffrat weiter mit dem privaten 
Schlussel 130 der Chipkarte 10 und priift die danach vorliegende Signatur 
mit dem offentlichen Schlussel 128 des Compilerservers 30, Schritt 726. 1st 
das Ergebnis der Signaturpriifung positiv, iSdt die Chipkarte 10 den somit 
10 vorliegenden ausfuhrbaren Programmcode C in die Speicheranordung 104 in 
den zur Aufnahme von Komplettierungsprogrammcode vorgesehenen Spei- 
cherraum 113, Schritt 728. 

Wie bei der Ausfiihrungsform nach Fig.5 wurde der in Fig. 7 dargestellte 
15 Verfahrensablauf der Klarheit wegen sequentiell beschrieben. Praktisch ist es 
jedoch sinnvoU, Verfahrensschritte, fiir die das mOglich ist, quasiparallel 
auszufiihren, indem Compilerserver 30 und Chipkarte 10 sie zeitlich liberla- 
gernd ausfiihren. Das gilt z.B. fiir die Schritte 712 bis 716, d.h. die chipkar- 
tenseitige Verschliisselung und die compilerserverseitige Wiederherstellung 
20 des Programmquelltextes Q. Sie erfolgen zweckmafiig in Form eines konti- 
nuierlichen, quasiparallelen Datenaustausch- und verarbeitungsprozesses, so 
dais der Programmquelltext Q nahezu unmittelbar nach Absendung des letz- 
ten Datensatzes durch die Chipkarte 10 im Compilerserver 30 vorliegt. Eine 
Zwischenspeicherung bis zum vollstandigen Eingang des Programmquell- 
25 text Q erf olgt nicht. Weiter bietet sich eine Realisierung in Gestalt eines kon- 
tinuierlichen, quasiparallelen Datenaustausch- und verarbeitungsprozesses 
auch fiir die Schritte 718 bis 728 an, d.h. fiir die compilerserverseitige Ver- 
schliisselung des ausfiihrbaren Programmcodes C und seine chipkartenseiti- 
ge Wiederherstellung sowie das Laden in den Speicherraum 113 auf der 
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Chipkarte 10. Die Ausfiihrung dieser Schritte durch Compilerserver 30 und 
Chipkarte 10 erfolgt zweckmafiig ohne Zwischenspeicherung unmittelbar 
datensatzweise, so dafi der ausfiihrbare Programmcode C im wesentlichen 
unmittelbar nach Absendung des letzten Transportcodedatensatzes durch 
5 den Compilerserver 30 im Speicher der Chipkarte 10 vorliegt. 

Im Rahmen einer Programmerstellung gemafi einer der vorstehend be- 
schriebenen Ausfiihrungsformen kann die Durchfuhrung einer Debug- 
Routine vorgesehen sein. Damit wird ein durch den Compilerserver 30 er- 
10 stellter Programmcode C vor dem Laden auf eine Chipkarte 10 auf Lauffa- 
higkeit gepriift. Das Prinzip einer solchen Debug-Routine ist in Fig. 8 veran- 
schaulicht, wobei zur Vereinfachung der Beschreibung die zur Sicherung der 
Dateniibertragung gerichteten MaCnahmen, d.h. vor allem die verschiede- 
nen Verschliisselungen, nicht gezeigt sind. 

15 

Die Debug-Routine ist als Programm 316 im Compilerserver 30 angelegt und 
wird auch dort ausgefiihrt. Zusatzlich oder als Bestandteil des Programmes 
316 beinhaltet sie eine einen Datentrager nachbildende Hardware zur Simu- 
lation und/ Oder eine softwaremafiige Nachbildung eines Datentragers zur 

20 Emulation eines erzeugten Programmes auf dem Compilerserver 30 unter 
den auf dem Datentrager vorhandenen technischen Randbedingungen. Ge- 
steuert wird sie, nach Einstellung eines entsprechenden Betriebsmodus im 
Compilerserver 30, liber den Editor 22 im Nutzercomputer 20. Die Betriebs- 
moduseinstellung karm z.B. im Rahmen der Auswahl einer Betriebsoption in 

25 den Schritten 708 und 710 erfolgen, wenn die Programmerstellung gemafi 
der in Fig. 6 dargestellten Ausfiihrungsform vorgenommen wird. Der De- 
bug-Betriebsmodus gestattet es u.a., vom Nutzercomputer 20 aus ein im 
Compilerserver 30 erzeugtes Programm zu starten, Stopmarken zu setzen, 
Speicherbereiche anzuzeigen sowie Variablen auszulesen und zu setzen. 
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Ftir die Ausf iihrung der Debug-Routine wird zunachst in iiblicher Weise ein 
Programmquelltext Q erstellt, Schritt 504, und eine Verbindung zum Com- 
pilerserver 30 auf gebaut, Schritt 700. Anschliefiend wird der Quelltext Q 
5 gemaC einer der zuvor beschriebenen Ausfiihrungsformen an den Compiler- 
server 30 iibermittelt, Schritt 800. 

1st der Quelltext Q eingegangen, bietet der Compilerserver 30 dem Nutzer 
die Erzeugung eines Programmcodes C im Debug-Betriebsmodus an, Schritt 

10 802. Ein Nutzer kann den Modus darauf iiber den Nutzercomputer 20 aus- 
wahlen, Schritt 804. Wurde der Debug-Betriebsmodus gewahlt, erstellt der 
Compilersetver 30 aus dem eingegangenen Programmquelltext Q durch 
Ausftihrung der Schritte 526, 528 einen vorlauf igen Programmcode Cv, der 
auf der im Compilerserver 30 vorhandenen Simulations- und/oder Emulati- 

15 onsumgebung lauffahig ist. Den vorlSufigen Programmcode Cv speichert der 
Compilerserver 30 in einen Zwischenspeicher, Schritt 806. AnschlieCend 
ubermittelt er dem Nutzercomputer 20 eine Erstellungsmeldung, Schritt 808, 
die dieser zur Anzeige bringt, Schritt 810. 

20 Der Nutzer kann das Quell textprogramm Q nun mittels des Nutzercompu- 
ters 20 mit Debug- Anweisungen versehen, d.h, Stopmarken setzen, die Aus- 
ftihrung eines Programmes in Einzelschritten oder das Anzeigen von Varia- 
blen veranlassen, Schritt 812. Die Debug- Anweisungen werden dem Com- 
pilerserver 30 mitgeteilt. 

25 

Nachf olgend kann uber den Nutzercomputer 20 die Ausfuhrung des durch 
den vorlaufigen Programmcode Cv realisierten Programmes auf dem Com- 
pilerserver 30 ausgelOst werden, Schritt 814. Der Compilerserver 30 fuhrt 
darauf das Programm unter Berucksichtigung der zuvor mitgeteilten Debug- 
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Anweisungen aus, Schrii± 816. Jeweils nach Ausfiihrung eines durch die De- 
bug- Anweisungen f estgelegten Programmabschnittes ubermittelt er eine Er- 
gebnismeldUng an den Nutzercomputer 20, Schritt 818, die dieser zur An- 
zeige bringt, Schritt 820. Abhangig von den iibergebenen Debug- 
5 Anweisungen kann darauf ein Eingriff eines Nutzers in die Programmaus- 
f lihrung vorgesehen sein, etwa durch Eingabe von Variablen oder durch Set- 
zen neuer Debug- Anweisungen, Schritt 822. Gegebenenfalls vorgenommene 
Eingriffe in den Programmquelltext Q oder neue Debug- Anweisungen, 
ubermittelt der Nutzercomputer 20 dem Compilerserver 30. 1st eine Debug- 

10 Anweisung schliefilich abgearbeitet, ubermittelt der Nutzercomputer 20 dem 
Compilerserver 30 ein Fortsetzungssignal, Schritt 824, auf das hin jener 
durch Wiederholung des Schrittes 814 die Ausfiihrung des nachsten Pro- 
grammabschnittes veranlalSt. Dabei berucksichtigt er eventuell vorgenom- 
mene Eingriffe in den Programmquelltext Q oder neue Debug- 

15 Anweisungen. Die Schritte 814 bis 824 werden wiederholt, bis der Compiler- 
server 30 ein durch einen vorlaufigen Programmcode Cy realisiertes Pro- 
gramm voUstandig ausgef lihrt hat. 

Erweist sich das Programm schliefilich als fehlerfrei lauffahig, veranlaiSt der 
20 Nutzer uber den Nutzercomputer 20 einen Wechsel des Betriebsmodus in 
den Standard-Modus, Schritt 826. Der Compilerserver 30 erzeugt daraufhin 
aus dem zu diesem Zeitpunkt vorliegenden Programmquelltext Q einen 
lauffahigen Programmcode C und iibertragt diesen wie anhand der Fig. 4 bis 
6 beschrieben tiber den Nutzercomputer 20 an die Chipkarte 10, Schritt 828. 
25 Desweiteren loscht er den zwischengespeicherten, vorlaufigen Pro- 
grammcode Cv, Schritt 830 

Die vorstehend beschriebene Folge von Ausftihrungsbeispielen ist jeweils als 
Basis fur eine konkrete Verfahrensrealisierung zu verstehen. Unter Beibehal- 
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tung des grundlegenden Ansatzes, zur Erzielung einer sicheren Program- 
merstellung vorkomplettierte Datentrager zu verwenden, sind die Ausfiih- 
rungsbeispiele jeweils in einem weiten Rahmen ausgestaltbar. Dies gilt ins- 
besondere fiir die Ausfiihrung der Strukturelemente, d.h. der Chipkarte , des 
5 Nutzercomputers, des Datennetzes und des Compilerservers. Welter konnen 
die genanntjen Verschliisselungs- und Authentifizierungsverf ahren selbst- 
verstandlich durch andere mit gleicher Sicherheitswirkung ersetzt werden. 
Alle beschriebenen Ausftihrungsformen lassen sich insbesondere durch die 
Verwendung weiterer Schlxissel, SequenzzShler oder anderer kryptografi- 

10 scher Algorithmen auf eine nochmals erhohte Sicherheitsstufe bringen. Aus 
techrdschen oder aus Sicherheitsgriinden konnen auch weitere Umformatie- 
rungen vorgesehen sein. So ist es insbesondere bei programmierbaren Chip- 
karten mit Blick auf deren begrenzten Speicherplatz tiblich, einen auf einem 
Compilerserver 30 erzeugten lauffahigen Programmcode vor oder beim La- 

15 den in die Chipkarte nochmals speicheroptimierend umzuformatieren, in- 
dem beispielsweise symbolische Referenzierungen durch absolute Adressen 
ersetzt werden. Aus Griinden der Ubersichtlichkeit wurden ferner jeweils 
nur Gutfalle beschrieben. Die Behandlung von Fehlerf alien lafit sich daraus 
jedoch unter Verwendung bekannter Standardlosungen ableiten. 
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Patentanspruche 

1. Verfahren zur verteilten Erstellung eines ausfiihrbaren Programmes fur 
einen programmierbaren, tragbaren Datentrager, wobei die Erstellung 

5 eines Programmquelltextes auf einem ersten, bei einem Nutzer befindli- 

chen Computer, Compilieren und Linken des Programmquelltextes zu 
einem ausfiihrbaren Programmcode nach Ubertragung auf einem zwei- 
ten, beim Herausgeber des Datentragers bef indlichen Computer, und das 
Laden des ausfiihrbaren Programmcodes in den Datentrager nach Riick- 
10 ubertragung wieder tiber den ersten Computer erfolgt, dadurch gekenn- 

zeichnet^ da& 

in einem Vorkomplettierungsschritt auf dem Datentrager (10) Software- 
werkzeuge zur Endbearbeitung angelegt werden, die es erlauben, aus ei- 
15 nem in einem Ubergangsformat vorliegenden Transportcode (U, UCsm, 

CssL,) einen ausfiihrbaren Programmcode (C) zu gewinnen, 

im zweiten Computer (30) erzeugter, ausfiihrbarer Programmcode (C) fiir 
die Riickiibertragung in Transportcode (U, UCsm, Cssl,) umgewandelt 
20 wird, und 

an den ersten Computer (20) zur Einbringung in den Datentrager (10) 
riickiibertragener Transportscode (U, UCsm, Cssl,) mittels der Software- 
werkzeuge in ausfiihrbaren Programmcode (C) riickgewandelt wird. 

25 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der auf dem 
ersten Computer (20) erstellte Programmquelltext (Q) fiir die Ubertragung 
zum zweiten Computer (30) eine Transportsicherung erhalt, indem er ver- 
schliisselt wird. 

30 
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3. Verfahreh nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge eine einen Datentrager (10) bezeichnende Identifikationinforma- 
tion (114) sowie einen Signaturschliissel (124) beinhalten. 

5 4. Verfahxen nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge ein Programm zur Durchfiihrung eines SSL-Handshake- 
Protokolls (122) und /oder ein Programm zur Durchfiihrung von Secure- 
Messaging (120) beinhalten. 

10 5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge einen privaten Datentragerschltissel (130) sowie ein Programm 
zur Priifung einer Signatur mit dem offentlichen Schliissel (128) eines zwei- 
ten Computers (30) beinhalten. 

15 6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi in den tragba- 

ren Datentrager (10) zu ladender, ausfiihrbarer Programmcode (C) unter 
Einbeziehung des zweiten Computers (30) ausgef iihrt wird, um mogliche 
Fehler zu ermitteln. 

20 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi in den tragba- 
ren Datentrager (10) zu ladender, ausfiihrbarer Programmcode (C) auf dem 
zweiten Computer (30) unter Einbeziehung des ersten Computers (20) ausge- 
fiihrt wird. 

25 8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der ausfiihrba- 
re Programmcode (C) im Speicher (113) des Datentragers (10) abgelegt wird. 
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9, Programmierbarer tragbarer Datentrager mit einem integrierten Schalt- 
kreis, welcher einen Prozessor sowie einen Speicher zur Aufnahme von 
durch den Prozessor ausfiihrbarem Programmcode aufweist, dadurch ge- 
5 kennzeichnet, dafi in dem integrierten Schaltkreis (12) Softwarewerkzeuge 
zur Endbearbeitung angelegt sind, die es ermoglichen, einen in einem Uber- 
gangsformat zugefiihrten Transportcode (U, UCsm, Cssl) in ausfuhrbaren 
Programmcode (C) zu iiberfiihren. 

10 10. Datentrager nach Anspruch 9, dadurch gekennzeichnet, daS er werug- 
stens einen Sequenzzahler (136) aufweist. 

11. Datentrager nach Anspruch 9, dadurch gekeiinzeichnet, daS er eine den 
Datentrager (10) bezeichnende Identifikationsinformation (114) sowie einen 

15 Schltissel (124) zur Bildung eines Datensicherungscodes enthalt, welche ihn 
einem def inierten zweiten Computer (30) zuordnen. 

12. Computer zur Durchfiihrung einer verteilten Erstellung eines ausfuhrba- 
ren Programmes fur einen programmierbaren, tragbaren Datentrager, ent- 

20 haltend zumindest ein Compilierungsprogramm sowie ein Linkprogramm 
(312), dadurch gekennzeichnet, dafi er iiber Mittel verfiigt, um aus einen 
zugegangenen, in einem Ubergangsformat vorliegenden Transportcode (T, 
TQ, TQssL,) einen Programmquelltext (Q) riickzugewinnen. 

25 13. Computer nach Anspruch 12, dadurch gekennzeichnet, dafi er Mittel 
aufweist, um die Identitat eines zu programmierenden DatentrSgers (10) 
festzustellen und zu uberprtif en. 
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14. Computer nach Anspruch 12, dadurch gekennzeichnet, daC er eine Ta- 
belle (340) fiihrt, in der fiir jeden tragbaren DatentrSger (10), der mittels des 
Computers (30) programmierbar ist, eine den Datentrager bezeichnende 
Identifikationsinformation (114) abgelegt ist. 

5 

15. Computer nach Anspruch 12, dadurch gekennzeichnet, dalS er iiber Mit- 
tel (321) zur formalen Verifikation eines durch Compilierung erzeugten Pro- 
grammcodes (C) aufweist. 

10 16. Computer nach Anspruch 12, dadurch gekennzeichnet, daC er iiber Mit- 
tel (316) verfiigt, um einen erzeugten Programmcode (C) durch unmittelbare 
Ausfiihrung darauf zu priif en, ob er Fehler enthah. 

17. Computer zur Durchfiihrung einer verteilten Erstellung eines ausfuhrba- 
15 ren Programmes fiir einen programmierbaren, tragbaren Datentrager, ent- 
haltend zumindest eine erste Schnittstelle fiir einen Datenaustausch mit ei- 
nem Datentrager sowie eine zweite Schnittstelle zu einer Datenverbindung, 
dadurch gekennzeichnet, dalS 

20 er Mittel aufweist, um ein Editierungsprogramm (22) zur Erstellung eines 

durch den Computer (20) selbst nicht ausf tihrbaren Programmquelltextes 
(Q) auszufiihren, 

und dais er Mittel aufweist, um iiber die erste und die zweite Schnittstelle 
25 (24, 26) eine direkte Dateniibertragung zwischen einem tragbaren Daten- 

trager (10) und einem iiber die Datenverbindung (28) angeschlossenen, 
zweiten Computer (39) zu ermSglichen. 
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18. Computer nach Anspruch 17, dadurch gekennzeichnet, da& er Mittel 
auf weist, um ein SSL-ProtokoU auszufiihren. 

19. System zur verteilten Erstellung eines ausfuhrbaren Programmes fiir ei- 
5 nen programmierbaren, tragbaren Datentrager, beinhaltend einen trag- 

baren Datentrager gemafi Anspruch 9 sowie einem Computer gemaJG 
Anspruch 12. 

20. System nach Anspruch 20, dadurch gekennzeichnet, dafi es weiterhin ei- 
10 nen Computer gemafi Anspruch 17 umfafit. 
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